前言
在網路安全防護體系中,根據攻防雙方的信息不對稱的特點,防禦方在攻防對抗中處於明顯的劣勢。在圖中可以看到,攻擊者從攻擊開始到攻陷目標,從攻陷目標到數據竊取的過程,大部分的操作可以在分鐘級別的時間內完成。
而對於防禦方而言,從系統被攻陷到發現攻擊,可能需要數個月的時間;從發現攻擊到抑制攻擊或恢復系統,可能需要數周的時間。防禦方表示壓力山大。
那防禦方該如何應對這種情況呢?我們可以對攻防雙方的整個過程進行分析,如圖所示。對於攻擊方而言(圖上方),攻擊的整個過程包括:攻擊者監視、對攻擊目標進行分析、訪問探針、攻擊計畫、系統入侵、攻擊開始、開始隱藏、發現/持久化、跳板攻擊完成、完成隱藏、保持據點。
而對於防禦方而言(圖下方),整個防護過程包括:物理安全、威脅分析、防禦方發現、攻擊預測、監視和控制、攻擊識別、事故報告、遏制和根除、戰損識別、影響分析、系統反應、響應、恢複。
其中,從攻擊方開始攻擊(Attack Begins),到防禦方對攻擊進行識別(Attack Identified),這個過程是攻擊方的自由攻擊時間。而要做好網路安全防護,本質上是盡可能縮短攻擊者的自由攻擊時間,從而減少損失。
以前主要通過網路安全防護設備和安全人員的堆砌來增强整個系統層面的安全防護能力,實際效果有限。現在的防護思路是:(1)綜合並利用整個防護體系中當前和未來的安全能力;(2)提高整個防禦體系的自動化程度進而優化人力成本;(3)通過增强共亯功能來降低攻擊者的靈活性。進而,在速度和規模上提高自動化防禦的有效性。
代表性的科技是威脅情報,通過組織之間的情報共亯來减少組織機構發現和檢測到威脅的時間(即只要有一個組織機構發現了新的威脅,並共亯威脅資訊,其它機构就可以預防該威脅),進而達到事前預警、事中檢測和事後溯源的目的。而要提高整個安全防護體系對威脅的響應速度,即發現可疑行為,並快速將防護和響應策略分發到相應的防護設備,這是當前討論較多的SOAR(Security Orchestration,Automation and Response,安全編排、自動化和響應)或OODA迴圈(Obeseve,Orient,Decide,Act,觀察,調整,決策以及行動)的概念。代表性的SOAR平臺有Phantom(https://www.phantom.us/),代表性的OODA框架就是本文要介紹的IACD集成的自我調整網絡防禦框架。
一、什麼是IACD
IACD,全稱:Integrated Adaptive Cyber Defense,集成的自我調整網路安全防護框架,是一種可擴展的、自我調整的、商業現成科技的網路安全操作方法的戰畧和框架;由美國國土安全部(DHS)、國家安全局(NSA)和約翰·霍普金斯大學應用物理實驗室(JHU/APL)於2014年聯合發起。
IACD定義了一個框架(包括參攷架構、交互操作規範草案、用例和實施案例),以便對網路安全操作採用這種可擴展的自我調整方法。通過自動化來提高網路安全防護的速度和規模,從而提高防護人員的效率,將他們移出傳統的響應迴圈,轉變為“網路安全防禦迴圈”中的響應規劃和角色認同;IACD的目標是通過集成、自動化和資訊共用來顯著地改變網路安全防禦的時間線和有效性。
對於企業而言,未來採納IACD的方案,需要支持這些原則:(1)充分考慮企業自身的情况(Bring Your Our Enterprise);(2)隨插即用(Plug-and-Play);(3)互操作性和自動化(Interoperability & Automation);(4)資訊共用(Information Sharing)。
企業通過採納IACD的方案,快速反覆運算地執行一系列的參攷實現,每個參攷實現都探索特定用例,期待達到效果:(1)證明使用商業產品集成的概念(商業系統能不能集成);(2)提供對潜在挑戰的見解(嘗試新的防禦方法);(3)識別技術差距、商業解決方案、政策和標準的可用性(快速試錯,對可用性進行檢測);(4)收集需求以促進相應標準的發展(如果有必要,或者發現了新的業務問題,可以嘗試推動行業相應標準的制訂)。
二、IACD體系結構
基於OODA迴圈,IACD架構已發展成一個框架,由感測器組成,帶來共亯可信的資訊,以觸發編排服務,來響應網絡事件。IACD體系結構包括以下部分:
1.感測器/傳感源(Sensor/Sensing Sources):感測器接收和發送數據到編排服務;
2.執行器/執行點(Actuators/Action Points):執行器實現對網絡事件的響應行為;
3.感測器/執行器介面(Sensor/Actuator Interface,S/A介面):S/A介面使得企業內的各式感測器和執行器集合可以相互通信;
4.意義構建分析框架(SMAF,Sense-Making Analytic Framework):SMAF用於豐富資訊;
5.決策引擎(DME,Decision Making Engine):DME將决定採取什麼樣的響應措施是合適的;
6.響應行為控制器(RAC,Response Action Controller):RAC將響應措施傳輸到一個響應行為隊列中;
7.編排管理(OM,Orchestration Manager):OM調整信息流和編排服務的存取控制;
8. 編排服務(Orchestration Services):五個組件的集合(S/A介面、SMAF、DME、RAC和OM)。
三、編排服務
要介紹編排服務,先要瞭解安全編排,IACD中對安全編排的定義是:將複雜的流程轉化為系統、工具、從業者和組織之間的簡化工作流程。編排服務指的是管理自動化和OODA迴圈衍生活動的集成:感知、感知構建、決策和行動。
IACD的編排服務功能包括:(1)跨多個不同來源的資訊資源進行集合;(2)自動確定風險和採取行動的决定;(3) 同步機器操作,以符合劇本中捕捉到的業務/運營優先順序;(4)通過信任社區進行自動化的資訊共用。
SA&O(安全自動化&編排)的好處是:(1)運營效率;(2)更快的檢測和響應;(3)能够處理更多的告警和數據;(4)捕獲組織知識和實踐;(5)實踐中的一致性;
而將安全自動化&編排作為服務的好處是:(1)降低運營成本-辦公室、設備、工具、許可、培訓和更低的資本支出;(2)互操作性、維護和可擴展性;(3)輕鬆協調DevOps、運營、安全、網絡和雲供應商及合作夥伴;(4)跨整個企業的綜合報告;(5)互補的網絡安全專業知識和實踐。
整體而言,使用編排服務可以:(1)更容易管理和專業知識;(2)更易於共亯知識;(3)響應也更快。在編排服務實施時,主要通過跨組織的劇本來開展。這時,在實施編排服務時,主要需要考慮互操作性、可達性和可信性。
那編排服務是如何實施的呢?IACD中介紹編排服務的實施,包括三方面:劇本、工作流、和本地實例。
其中,劇本(Playbooks)指的是一組面向流程的步驟,使組織能够滿足其策略和過程中指定的要求。劇本主要是給人看的,用於分析整個響應和處置過程。
工作流(Workflow),指的是對攻擊和響應的流程進行分析設計,最終保證這個是機器可以理解的。通俗的理解就是,出現什麼情况,告訴機器怎麼自動處置。
本地實例(Local Instances)指的是,根據設計的劇本和工作流,形成方案,並在本地進行試點部署。值得注意的是,本地實例不是只是人讀的部署檔案,而是在機器和機器之間是可讀和可共亯的。
四、IACD劇本
根據上述的介紹,劇本(Playbooks)指的是,一組面向流程的步驟,使組織能够滿足其策略和過程中指定的要求。它們是記錄組織過程的人類可理解的行為。
劇本的目的是以某種管道表示以下的過程:(1)大多數組織可以與他們正在執行的流程相關聯;(2)可以映射到治理或監管要求(例如,NIST 800-53);(3)展示一段時間內自動化過程的途徑;(4)確定流程步驟的行業最佳實踐。
劇本的主要特徵是它是為人類設計的(即人類可讀的)。它代表了最基本的一般安全流程,使得劇本能够以完全手動的管道實施,或者越來越自動化,適合組織。
劇本的目標和特點如下:
1.劇本是一種社區驅動的合作努力,可以在組織之間輕鬆共亯;
2.推廣劇本以適應各組織的廣泛適用性;
3.可以定制劇本並用於創建工作流或識別滿足組織需求的現有供應商/社區工作流程;
4.可以將劇本連結在一起,以便組織可以專注於更大流程的“塊”,直到組織可以選擇組合多個劇本;
5.無論流程成熟度或自動化程度如何,都可以將劇本應用於組織;
6.劇本不是靜態的-它們可以隨著政策或操作和科技要求的變化而發展,但應靈活地跟踪政策或要求,以支持風險和準備情况評估。
所有IACD劇本應包含五種內容類型,這些內容類型是解决關鍵原則和在組織之間和組織之間有效使用和共亯劇本所必需的。包括:
1.啟動條件,記錄的安全過程旨在解决的事件或情况;
2.流程步驟,記錄過程中的步驟順序-可以手動或以自動管道執行;
3.結束狀態,表示劇本完成的所需條件或狀態;
4.最佳實踐和本地政策,可以定制表示劇本可能的特定路徑的變體,選項和候選操作,以反映組織策略和實踐;可以發展為允許組織添加功能;
5.與治理或監管要求的關係,將劇本捕獲的流程映射到適用的治理或監管要求,以實現跟踪,稽核和評估。
IACD劇本的構建步驟如下:
1.確定啟動條件;
2. 列出響應此啟動條件可能發生的所有可能操作;
3. 反覆運算步驟2中的操作清單,並根據操作是必需步驟還是可選步驟對操作進行分類;
4.使用步驟3中所需的步驟構建劇本流程圖;
5.反覆運算可選操作並確定是否可以按活動或功能對操作進行分組。例如:監控,充實,響應,驗證或緩解;
6.思考:是否有可能只在劇本的某些部分發生的行為?這是對操作進行分組的管道;
7.修改步驟4中的劇本流程步驟圖,以包括將選擇可選操作的點;
8.使用步驟5中的可選操作填寫流程步驟下方的操作選項框;
9.確認劇本以結束狀態結束或向適當的劇本提供新的啟動條件;
10.確定本劇本中的行動所滿足的監管控制和要求。
在劇本的圖示示例中,介紹了該劇本的啟動場景,針對該場景的各個階段的處理流程,以及響應建議、驗證建議和緩解建議等。
五、工作流
工作流(Workflow),指的是對攻擊和響應的流程進行分析設計,最終保證這個是機器可以理解的。通俗的理解就是,出現什麼情况,告訴機器怎麼自動處置,而機器最擅長處理是數位計算和判斷。
圖示為攻擊的工作流,描述整個攻擊的各個過程:
針對整個攻擊過程,設計需要各個階段採用的防禦措施。防禦措施的關鍵選擇節點,採用條件選擇的管道進行判斷,以保證機器可讀。
六、螺旋活動
在IACD中,本地實例主要通過螺旋活動(Spirals)的管道進行介紹,簡而言之,螺旋活動指的是針對不同應用場景而設計的可共亯的部署類型和示例。
代表性的螺旋活動有螺旋0到螺旋9,最新的已經擴展到了螺旋10和螺旋11,各螺旋活動的概念介紹如下:
螺旋0,實現安全自動化和編排;
螺旋1,可擴展性和自動名額共亯;
螺旋2,風險和基於任務的COA(Course of Action,應對措施)選擇;
螺旋3,异常行為緩解和COA(Course of Action,應對措施)選擇;
螺旋4,資訊結構互操作性/互換性;
螺旋5,響應行動互操作性,自動獵捕支持;
螺旋6,安全協調、擴展的響應操作互操作性;
螺旋7,多流程集成,IT/OT集成,工作流完整性;
螺旋8,破壞性惡意軟件後的自動恢復;
螺旋9,資訊共用中的自身免疫;
以螺旋0為例,來介紹IACD的螺旋活動,螺旋0的目的是實現安全自動化和編排,在實施螺旋0時,需要思考:(1)可以使用現有產品有效實施集成和自動化嗎?(2)我們能否將一些運營經驗與未來螺旋進行比較?
螺旋0的目標是:(1)提高評估速度,有效利用有限的分析師資源;(2)螺旋0使用APL運營網絡來應用集成和自動化,並為比較提供現實基礎。
螺旋0的示例架構如圖,在該螺旋0的示例中,使用的編排器有:TIBCO Streambase、Invotas、Python Scripting;
集成的工具/能力有:Bit9、FireEye、Splunk、Juniper Firewall、Carbon Black、CISCO Firewall、SNORT;
訪問的資訊&信譽度來源有:Virustotal、Herd Protect、URL Void、IP Void;
觸發事件有:主機中發現未知可疑檔案;
自動化的防禦行為有:自動豐富--信譽服務、以前事件、檔案爆炸;在主機上阻斷--使用hash進行阻斷;在周邊阻斷--使用IP或URL阻斷連接;
主要成果有:為一線分析師提供有力支持;將緩解措施轉換為工作流程,以漸進實現;改變規則/打開光圈:根據人力速度容量設計和調節篩檢程式。
在對未知可疑檔案進行判斷場景中,在實施IACD的螺旋0前後,從告警到決策的時間變短了:實施螺旋0之前,最好的情况需要10分鐘,最差的情况需要11個小時;實施後,最壞的情况,才需要10分鐘,最好的情况,只需要1秒鐘就可以,整個時間縮短了97%-99%。
對可疑檔案的分類能力,提高了10000倍,並且可以同時處理24-96個事件。
響應處置的時間大幅下降,實施IACD螺旋0之前平均需要45分鐘,實施後只需要30-60秒,時間减少了98%。
更多的螺旋活動實例,可以參考網盤的資料內容。
七、採納準備和試點
值得一提的是,IACD在設計之初,就充分考慮落地實施的可行性和可操作性。企業在計畫採用IACD時,在制訂以成功實施IACD為中心的方法時,需要考慮:(1)在組織的各個層面視覺化支持自動化;(2)願意定義和修改流程,以提高效率;(3)購買具有互操作性的產品和應用程序。
同時,IACD推出了一個IACD準備框架,用於實際指導IACD的部署實施,主要包括:準備採用SA&O、準備試點SA&O、準備初始部署SA&O、準備改進SA&O和準備長期支持SA&O五個階段,如圖所示:
另外,企業在進行IACD的採納準備和試點時,還需要考慮一些問題:
1.集成支持:在哪裡可以找到集成的產品清單、集成線路圖、以及每個產品支持的命令?是否有社區為您的產品提供協力廠商集成?
2.安全考慮:你如何保護或安全訪問憑證,以支持强大的身份驗證機制?您多久提供一次與安全相關的產品升級或補丁?
3.備份和恢復:你的產品備份(即安裝/配寘資訊、工作流程、憑證)是什麼?你如何從失敗中恢復或被迫停止?
4.運行狀況和效能:如何監控產品是否已啟動、正在運行以及執行應該執行的操作?收集哪些資訊以支持故障排除錯誤、監控運營效能以及改進流程效能?
5.報告:你支持哪些名額和默認報告來證明投資回報率?
現時,IACD已經在美國的FS-ISAC(金融服務資訊共用和分析中心)和美國能源部等多個部門進行試點,以FS-ISAC的試點為例,基於IACD框架的自動化豐富了FSISAC提供的情報; 一旦發佈到試點入口网站,威脅情報就會被轉換為STIX/TAXII格式; 基於IACD框架,根據金融部門的SOP(自帶企業),自動化的在每個金融部門選取和響應情報。如圖所示:
實施IACD,最終可以達到效果:
1.管理的名額、事件、終端保護數量在急劇增加:分流能力新增10000倍;完成100-400倍的名額緩解量。
2.時間表、使用的分析/操作時間顯著减少:全自動流量的運行時間縮短了99%;在選定的流程中,將事件從11小時縮短為10分鐘。
3.日益複雜的工作流程和決策的快速發展:操作狀態、任務優先順序、風險狀態、當地政策/ROC的交錯,而不會縮短時間表;行為驅動、基於非簽名的觸發器的擴展。
4.商業可用性、新增交互操作解決方案的擴展:協調服務新增10-20倍;完成OpenC2初始規範;提供政府和商業來源威脅來源的可用性。
八、未來的生態
由美國國土安全部(DHS)、國家安全局(NSA)和約翰·霍普金斯大學應用物理實驗室(JHU/APL)聯合發起的IACD十分看重生態構建,現時IACD已集成了眾多主流的安全廠商、機构、系統、產品和規範。
可以預見,在IACD的未來生態構建中,會出現:
1.供應商綜合產品服務:供應商不可或缺地綜合威脅產品和服務,這些產品和服務需要成為擴展企業的一部分,這些企業正在被綜合以加速網絡防禦的速度和規模。
2.多模型用於資訊共用:威脅情報平臺、商業威脅提供商和跨組織合作正在改變威脅資訊的共亯,訪問和使用管道。
3.信任圈:組織將屬於具有不同信任級別的多個組,有些會與另一個信任圈子建立關係,有些會保持獨立。
4.資訊共用和網路空間防禦自動化共亯相同的生態:資訊共用和網絡防禦自動化共亯相同的生態系統;共亯資訊將直接提供風險決策和相關的自動化流程;自動防禦將直接為資訊共用活動提供信息。
5.擾流警報:“分散”決策、數據、控制。IACD將還工具和產品進行分類。
名詞解釋
SOAR,Security Orchestration,Automation and Response,安全編排、自動化和響應
OODA,OODA迴圈,Obeseve,Orient,Decide,Act,觀察,調整,決策以及行動
IACD,Integrated Adaptive Cyber Defense,集成的自我調整網路安全防護框架
SA&O,Security Automation and Orchestration,安全自動化&編排
Playbooks,劇本
Spirals,螺旋活動
參考文獻
注:圖1和圖2為金湘宇金將軍分享的PPT中的內容
【1】IACD,https://www.iacdautomate.org/
【2】官網分享的150多個PPT檔案介紹資料
最後,小小的吸粉一波,關注公眾號並回復“IACD”,獲取150多份介紹IACD相關內容的PPT檔案。