通过部署智能化的渗透测试平台,以适应网络安全工作的要求,优化提升实验室的网络安全巡检效率、安全预警能力,同步提升网络安全团队成员的安全业务效率和安全响应能力。
一、实施背景
近几年,国家电网的各省科学研究院陆续建成网络安全实验室,可以开展电力信息系统实验环境建设,能够提供近似生产运行的测试、验证环境。网络安全实验室也具备威胁情报、隐患排查、安全巡检、代码审计、攻防演练、攻击溯源、调查取证等能力,开展安全漏洞挖掘、隐患排查、安全巡检、系统加固、攻防演练、调查取证和应急处置工作等相关工作。
随着国网信息系统多样性和复杂度的提升,网络安全漏洞挖掘的工作任务可预见会越来越重。
在人员方面:进行安全巡检主要是依靠安全工程师通过使用规定工具+第三方工具的形式,按照安全巡检流程进行安全漏洞排查工作。针对安全巡检过程中到底使用什么工具组合,排查是否全面,过程是否规范可控等很大程度上受安全人员的个体能力和水平的影响。通过工具发现产生的大量检测结果信息,也是通过人工的方式进行过滤和判断。因此,电力安全巡检质量很大程度上受安全人员个人因素影响且影响覆盖面较大,这不利于网络安全巡检工作的规范化、标准化流程的实施,特别是安全人员的经验和技能随着安全巡检业务的开展,如不能高效进行沉淀、共享和传承,或者说传承成本过高,一旦发生高水平安全人员流失等情况,将产生安全巡检能力下降的风险。
在工具方面:一方面我们使用国外工具产品较多,在实际业务开展过程中结合电网业务特色进行必要的技术改造、业务改造难度很大,特别是随着中美贸易战等-x国际关系因素影响,相关工具存在费用不合理上涨、停止服务,甚至引进安全漏洞等不可控事件发生。另一方面我们使用的第三方工具产品较多,这些工具各有特色且彼此独立存在,整体性和集成性差,具体使用哪些工具组合来开展安全巡检工作往往需要安全人员根据自己的喜好和经验进行人工判断,特别是对于新加入的安全工程师,对各种工具的学习和掌握都需要投入很大的精力和成本,且工具更新换代频率越来越高,意味着在工具学习和使用方面需要投入的人力成本也越来越大,涉及网络安全巡检门槛也越来越高,不利于电力公司业务安全巡检工作的快速有效落地。
在经验方面:安全巡检工作产生的各种测试报告是最终安全巡检工作成果的体现,但是在工作过程中形成的众多宝贵经验却没有得到有效提炼和归集。随着安全人员的流动,这些宝贵的经验随着人员变动而流失,几年下来虽然电力安全人员在持续地进行安全巡检工作,但在经验积累和整体能力提升方面始终发展缓慢,再加上互联网时代电网业务场景数量不断增多、需求变化更快、对安全团队能力要求更高,这给电力安全巡检工作带来了更大的挑战。
二、实施目标
通过部署智能化的渗透测试平台,以适应网络安全工作的要求,优化提升实验室的网络安全巡检效率、安全预警能力,同步提升网络安全团队成员的安全业务效率和安全响应能力。
三、建设内容
渗透测试路径图规划
渗透测试知识图谱子图谱
1、建立电力安全巡检人工智能学习大脑,集众人渗透能力,贴身打造适合自身业务的渗透方案。
将安全巡检工作的标准、用例和宝贵经验进行梳理、重构,形成知识图谱,并将知识图谱内置于工作平台之中,通过知识库模式实现对知识图谱的更新、维护、持续完善,形成电力安全巡检“知识大脑”。
收集整理公司内的安全巡检经验,并基于知识图谱和专家系统技术将安全巡检经验转换为机器可存储、识别、处理的渗透专家经验,打造基于电网行业的安全巡检知识图谱和安全巡检专家知识库,从而形成安全巡检经验积累沉淀平台,利用该平台实现安全巡检人员的正向经验积累和反向反哺渗透人才培养的机制。通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到安全巡检体系内,让安全属性嵌入整条流水线。
2、建立电力安全巡检统一工作平台
构建统一的工具集成调度平台。以插件的形式对日常测试工作中用到的测试工具进行集成,并且提供统一的调度接口,通过人工智能技术进行智能化的组合调用,能够最大限度的发挥各个工具独有的优势。在后续的工作过程中不断累积集成优秀的测试工具,最终形成具有电力特色的安全巡检工具平台。同时所有红队人员基于同一套平台进行安全巡检,可以降低整体的学习成本。
3、从手工安全巡检走向自动化安全巡检,建立透明规范的安全巡检机制
据统计,电力的安全人员每周都需要上报安全巡检结果,平均对一个目标站点的测试耗时大概是13个小时,并且在漏洞覆盖率方面不足60%。通过采用自动化的安全巡检方式,平均一个站点测试时间基本在半小时到一小时之间,公司在安全巡检方面的工作效率得到了大幅提升。自动化的安全巡检可以7*24小时不间断对关键业务系统进行漏洞挖掘,从整体上缩短漏洞的预警时间,提高了公司红队的业务安全保障能力。
通过自动化安全巡检链条主要根据安全巡检的流程,将一系列安全巡检工具按信息收集、端口及漏洞扫描、获得权限及权限提升、日志清除到进一步内部信息收集的顺序依次执行。规划设计安全人员安全巡检思路、方法和测试工具的集成标准,构建统一的工具集成调度平台,通过人工智能技术进行智能化的组合调用,最大限度的发挥各个工具的优势。将人工为主的安全巡检转变为高度自动化的安全巡检,提高安全巡检效率,降低安全巡检工作压力。
四、实施收益
提高安全巡检效率,降低人工成本:将现有安全巡检工作,特别是安全巡检环节60%以上的重复人工进行替代,大大降低安全巡检人工成本。事半功倍、可持续长久发展的预期目标。
提升电电力安全巡检的智能化水平,从管理角度实现安全巡检工作进行了规范化、流程化的标准作业,有效实现了安全巡检历史经验的持续积累;从技术角度实现了对安全巡检工作的智能化程度,通过统一的平台进行集中式工作,降低技术学习的成本,缩短了整体业务安全应急响应周期。
构建安全巡检大脑,建立了从工作经验持续积累到工作经验反哺培养新人的通道,方便了新人快速上手安全巡检工作,有助于电力安全人才梯队培养。