新形势下网络安全运营服务研究

袁广恋,云圆圆

(江苏金盾检测技术股份有限公司,江苏 南京 210042)

0 引言

随着近几年《网络安全法》《密码法》《数据安全法》《个人信息保护法》等一系列相关法律的出台,网络安全的合规性要求越来越高。除了法律之外,各个主管部门组织的网安行动、护网行动越来越多,网络安全运营者面临被通报、被处罚的情况越来越多。如何在新形势下顺利开展网络安全工作,满足各项法律法规要求,避免被通报、被处罚已经成为网络安全运营者迫切需要面对并解决的问题。

1 网络安全工作现状

网络安全工作越来越重要,网络安全运营者对网络安全工作越来越重视,每年在网络安全工作上都有一定的资金及时间的投入,但是目前的网络安全工作依然存在一些问题。

1.1 安全设备未正确使用好

目前,很多网络安全运营者在网络安全基础设施上投入较多,主要包括边界安全、杀毒、态势感知、安全审计、流量分析等相应技术措施,要匹配的安全设备类型也很多,比如最基础的防火墙、杀毒软件、VPN、堡垒机、上网行为管理到进一步的态势感知、IPS、日志管理、数据防泄露、Web应用防火墙、数据库审计等。由于这些网络安全设备的增加,同时这些安全设备又是比较专业的网络安全设备,如何有效把这一系列安全设备充分使用起来,发挥其最大用处,起到应有的网络安全防护效果是网络安全运营者需要面对的问题,往往在实际工作中大部分的安全设备都没有被使用好。

1.2 无法独立处理海量的告警和日志

随着大量网络安全设备的投入,特别是防入侵攻击、主动威胁分析相关的安全设备的投入,每天这些网络安全设备会产生海量的告警信息和日志。大部分网络安全运营者无法自主分析这些告警日志,从这些海量的告警信息里提取有效的安全事件和攻击行为,进行有效的安全处置。

1.3 网络安全工作合规要求越来越多

随着《网络安全法》《密码法》《数据安全保护法》等法律法规的出台,网络安全运营者需要开展的网络安全合规工作越来越多,比如:开展等级保护测评、商用密码应用安全性评估、数据分类分级、网络安全应急演练等。这样的工作专业性强,对网络安全运营者的技术要求较高,大部分网络安全运营者无法独立依靠自己的力量完成这些工作。

1.4 各类网络安全通报越来越多

目前,网信办、公安、通管及行业主管部门对网络安全运营者或多或少都有管理要求。随着监管的加强,网络安全运营者经常会收到各类网络安全通报。网络安全运营者收到通报后需要第一时间快速及时地进行处置并做反馈。面对这样的实际情况,单个网络安全技术人员很难完全应对此类突发的网络安全事件。目前,大部分网络安全运营者都不能完全独立解决这类网络安全通报。

2 网络安全工作需求分析

2.1 网络安全工作合规性需求

等级保护测评、商用密码应用安全性评估、数据分类分级、网络安全应急演练等网络安全合作工作越来越多,需要网络安全运营者及时开展以满足法律法规的要求,做到网络安全工作合规合法。

2.2 网络安全工作有效性需求

网络安全运营者需要使用好网络安全设备,及时处置各类网络安全风险。这就需要网络安全运营者做到安全设备策略优化、主机设备加固、应用的安全漏洞发现及修复、安全日志分析、突发事件处置等工作,做到网络安全工作切实有效,避免发生网络安全事件,避免被相关安全主管部门通报。个人很难较为全面、快速、有效地解决这些问题。

2.3 网络安全工作及时性需求

面对网络安全攻击事件以及网络安全主管部门随时可能的通报,网络安全运营者应该在第一时间对这些网络安全问题进行分析、判断、处置,如果处置不及时,一方面可能造成网络安全事件影响范围扩大及破坏程度的增加;另一方面可能造成主管部门的再次通报及处罚。面对这类情况,网络安全运营者对网络安全工作的及时性要求越来越高。

3 网络安全运营服务实现

面对以上的网络安全工作现状及网络安全工作需求,如果网络安全运营者再像传统做网络安全工作一样,只是通过购买网络安全设备,依靠网络安全运营者自身去解决是很难做好当下的网络安全工作,无法做到合规、有效、及时。这些需要通过专业的第三方网络安全服务机构构建全新的网络安全运营服务体系来解决。新形势下的网络安全运营服务内容至少包括:资产调研、安全防护能力检测、防入侵安全加固、安全监测与预警、应急处置,通过这一系列服务提升网络安全运营者的网络安全防护能力,降低网络安全事件发生的概率,有效地完成网络安全各项工作。

3.1 开展好信息资产调研

网络安全运营者做好网络安全运营服务,首要任务就是开展好信息资产调研,全面掌握单位具有的信息资产,摸清家底。在实践中,一般通过人工访谈调研和互联网服务指纹探测等方式对用户单位的信息系统情况进行调研摸底,梳理存活在用的物理资产信息和数字资产信息,避免防护盲区的存在。资产调研除了传统的信息资产、IP、服务器操作系统版本、中间件、数据库版本,还包括业务系统相关访问路径、访问人员等信息。基于网络扫描、搜索引擎、互联网基础数据引擎主动探测暴露在互联网上的业务应用系统等资产,可以形成明确的资产清单,并发现未知资产。技术人员通过大数据挖掘和调研的方式确定资产范围,进行主动精准探测,深度发现暴露在外的 IT 设备、端口及应用服务,发现活跃资产及 “僵尸” 资产,由安全专家对每项业务进行梳理分析,结合网络安全运营者反馈的业务特点对资产重要程度、业务安全需求进行归纳,最终形成各网络安全运营者的资产清单。同时,信息资产调研工作不是一劳永逸的。信息资产有一个不断变化和更新的过程。这就需要网络安全运营者定期开展信息资产调研,不断完善信息资产。

3.2 做好网络安全防护能力检测工作

网络安全运营者在新的网络安全形势下应该开展全面的网络安全防护能力检测才能更加全面地发现各类网络安全问题。一个全面的网络安全防护能力检测至少要包括渗透性测试、漏洞扫描、安全措施防护有效性检测、入侵痕迹检测等几个方面的内容[1]。区别于一般的基于安全漏洞的检测,防护能力检测从面向威胁视角通过安全建模的方式分析系统实际存在的安全威胁场景,并对可能存在的威胁途径、威胁方式进行全覆盖式的测试验证,测试结果不但能明确反映出当前系统面临哪些方面的威胁、哪些威胁可被利用、哪些威胁可被抵御,而且对应安全风险事前、事中、事后全过程提出整改建议措施。该检测更加全面地发现各类安全隐患,而不局限于某一方面的网络安全问题。渗透测试一定是全面性的,不能仅仅局限于某一方面漏洞的发现。漏洞扫描需要使用不同工具进行交叉扫描。各类安全措施是否有效需要进行策略设计、策略优化、策略验证、策略及时更新等,做到安全防护措施的实时有效。入侵痕迹检测可以有效判断系统是否已被入侵过,避免系统已被黑客进行木马控制等攻击。

3.3 开展防入侵安全加固

目前,国内对于安全整改加固的现状是:大部分从事网络安全业务的厂商提供安全加固服务是针对合规要求的策略配置、补丁升级等有限的安全加固,对应的安全加固技术人员仅从一个或某几个侧面来对系统进行增强保护,没有形成一套完整的防入侵安全加固保护体系,不能对目标提供全面有效的保护。对于向互联网提供服务的系统,来自应用层的攻击入侵占绝大多数,但是应用软件的安全漏洞和安全功能的缺失需要通过代码更新或重新开发才能解决,对于已交付或需频繁业务更新的应用系统则束手无策。部分网络安全运营者寄希望通过部署各类安全防护产品解决网络攻击入侵的问题,由于网络入侵技术、网络攻防对抗的多样性、动态性、复杂性,经常出现投入大量资金而安全态势并没有真正改变的状况。

在安全威胁和安全保护要求详细分析的基础上,防入侵安全加固能够在不增加的硬件设备的条件下对网络系统、主机系统、应用系统提供全面的防入侵功能设计和安全策略优化等服务,为网络安全运营者提供一套完整的防入侵安全加固保护体系,消除安全隐患,有效提升信息系统的安全防护能力。

防入侵加固加固的不仅仅是漏洞,它是一个加固体系,涉及网络层加固、系统层加固和应用层加固。

3.3.1 网络层加固

网络架构及边界安全策略整改优化:依据安全检测发现的问题形成网络层面安全整改方案,主要内容包括但不限于网络架构优化设计及结构调整、网络边界访问控制优化设计及策略加固、网络边界防入侵策略加固优化、网络边界防恶意代码策略加固优化、设备身份认证策略、权限管理策略、远程管理策略加固优化、网络监测预警策略加固优化、网络日志审计策略加固优化等。

3.3.2 系统层加固

操作系统及通用网络服务安全加固:依据安全检测发现的问题形成系统层面安全整改方案,主要内容包括但不限于:身份认证策略加固优化、权限管理策略加固优化、远程管理策略加固优化、日志审计策略加固优化、访问控制策略加固优化、重要文件完整性监测加固优化、系统部署结构及管理控制台加固优化、补丁升级及防入侵策略加固、日志审计策略加固优化等。

3.3.3 应用层加固

应用层加固主要内容包括但不限于:Web安全漏洞的修复加固、第三方组件安全漏洞修复加固、安全配置缺陷的修复加固、程序及配置文件完整性监测措施设计加固、日志审计策略加固优化、数据备份恢复策略优化加固等,实现对应用层中常见高中危漏洞的有效防护。

3.4 日常安全监测与预警服务

网络安全运营者通过防护能力检测以及防入侵加固服务,可以解决大部分网络安全问题。如何面对日常的网络安全攻击以及未知威胁的网络攻击,网络安全运营者需要加强日常网络安全监测与预警服务。通过部署专业监测工具来分析网络镜像流量,基于规则检测、机器学习模型、大数据技术,可以实时感知业务系统的安全威胁,检测到外部攻击、内网渗透以及失陷破坏的威胁。部署的专业监测工具实现以下功能。

3.4.1 迅速定位:精准检测0Day、木马变形及APT攻击

为攻入目标单位网络大门,攻击者通常会尝试各类最新、最隐秘的攻击手段。同时,监测工具还可对请求与返回流量全流量检测,对目标单位生产网、办公网全场景流量攻击成功失败自动化判定,保证准确告警,精准检测0Day、木马变形及APT攻击并迅速定位被攻击的目标资产。

3.4.2 情报反制:重保监控,实时获取最新攻击情报

监测工具基于专业分析团队时刻跟进攻击动向,实时同步攻击队IP资产、木马特征、攻击队溯源结果等攻击者重要信息,同时全面展现外部攻击活动、资产风险检出、恶意文件、邮件告警、疑似感染攻击队木马主机等关键信息,通过情报进行先发制人。

3.4.3 攻击研判:灵活易用研判工具包

各种高级、未知、高隐藏型攻击威胁,已成为攻防过程的主流攻击方式。网络安全运营者想要准确、快速、有效地对攻击进行研判,就需要高可用、高易用的分析研判工具库,从而及时快捷地进行攻击研判。在攻击研判环节,监测工具的日志调查模块针对网络日志提供不同流量方向、不同行为类型、不同匹配方式的源IP、攻击结果等任意类型日志快速检索,完备的解码与统计分析工具可对加密攻击载荷进行解码分析。

3.4.4 快速响应:自动化封堵攻击

在攻击过程中,一旦发现攻击者,监测工具可提供旁路阻断与联动阻断两种阻断方式。通过旁路阻断,可在不改变网络拓扑的情况下,对恶意连接进行有效阻断。而联动阻断,则是将检出的恶意域名资产IP、域名等信息及时同步至第三方防火墙设备或采用外部资源调用的方式进行阻断。

3.4.5 攻击溯源:完整还原攻击路径

攻击溯源是事后响应的关键,也是安全能力提升的关键。通过对被攻击资产与流量的分析与溯源,还原攻击路径与攻击手法,网络安全运营者不仅可有效提升攻防能力,还可增强安全防御能力,将攻击事件转换为防御势能,避免二次攻击事件发生。

3.5 威胁分析及应急处置

网络安全运营者(1)通过专业的工具开展网络层流量分析,来发现各类网络安全攻击;(2)通过实时的流量分析来发现各类网络安全问题。同时,网络安全运营团队的一线运营前台会 7×24 h监控应用安全攻击事件,并对事件进行即时确认,一旦发现安全事件属实,将会即时通知客户及相关的应用管理接口人,同时启动相应的安全应急响应流程。在接到网络安全运营者紧急响应请求时,网络安全运营团队立即启动响应预案。项目负责人立即指派现场应急组收集信息系统信息、安全事件信息并立即分析评估[2]。无论能否解决问题30 min内返回处理情况简报。现场应急组在规定时间内不能分析问题,则立即电话请求技术支援组,协同分析解决安全事件。如果在30 min内仍不能解决,那么技术支援组及技术专家应在1 h内到达事故现场,协助现场人员进行问题处理,直至问题解决。

在重要保障时期,根据网络安全运营者需求,提供1人7×8 h或7×24 h驻场式安全运行保障,网络安全运营团队对系统各类运行日志和威胁情况进行分析,及时发现系统异常情况和安全威胁形势,为提前预防和应急措施提供技术支撑。一旦发生网络安全事件,驻场服务团队将第一时间提供现场应急处置服务,迅速研判事件原因。根据《国家网络安全事件应急预案》网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件[3]。根据不同级别的网络安全事件,网络安全运营团队启动不同级别的网络安全应急服务,按照安全事件应急预案提供取证、抑制、根除以及验证等服务,将安全事件的危害损失控制在最小范围。

安全事件分析:针对各类网络安全事件,网络安全运营团队需做好预测并对监测到的安全数据和安全事件信息进行安全事件研究、分析和判定,验证安全事件的可能性并出具相应的解决方法。一支由高技术能力的安全服务人员组成的安全团队开展安全事件研判分析。安全应急响应处置:基于具体的安全事件开展专家应急响应,包括安全事件检测、安全事件抑制、安全事件根除、安全事件恢复、安全事件总结,最终形成协调联动机制,增强应急技术能力,健全应急响应机制。安全事件处置完成后,系统得到恢复,找到安全事件发生的原因并提供相应的安全解决方案,提供交付物安全事件应急响应报告。

4 结语

通过以上成系统的网络安全运营服务体系的建设,网络安全运营者可以有效地应对当下网络安全新形势下对网络安全工作的各项要求,一方面要全面发现问题,同时也要及时解决问题,在面对各类攻击或攻防行动时亦能及时发现各类网络攻击,并及时有效地做出响应处置,将各类网络攻击及网络安全事件第一时间处置完成,保障信息系统的安全。