当前,随着数字化发展的不断深入,关键信息基础设施作为国家的重要战略资源,面临着国内外严峻的网络安全风险。构建适合自身业务场景的威胁情报体系,完善整体安全防护能力,将威胁情报应用融入日常安全运营,不断提升实时响应能力,构建点面结合的主动安全防御能力。
一、实施背景
为了确保国家安全,在国家发展各领域和全过程中,需要将安全发展贯穿始终,筑牢国家安全屏障。传统局部的、各自为政的、基于特征的信息安全解决方案在当今世界信息安全争夺战中已经暴露出极大的不足,APT正在成为当前信息安全的主要黑手,政府、军队、金融、能源和其他大型企业则是攻击的首要目标。信息系统被入侵、主机被控制、核心机密数据失窃,这样的恶性事件每天都在发生。主动安全防御能力成为决定关键基础设施生存和发展的关键因素,而威胁情报则是主动安全防御战略成败的关键要素。
二、实施目标
通过建设本地化网络威胁情报中心,借助大数据手段和威胁情报等前沿安全技术,构建一体化的智能安全服务技术体系,提供智能化的威胁监测、各类安全数据的采集与分析、自有威胁情报的生产、输出和赋能、共享等高级安全服务。
(一)提供威胁监测与预警服务,有效应对威胁
基于安全大数据平台,支持大规模网络环境中,对能够引起网络态势发生变化的多源安全要素,进行获取、理解、显示以及最近发展趋势的顺延性预测,提供决策支持与行动的服务能力。
(二)基于情报的产品联动,提升传统安全防控措施的效能
大数据正在改变诸如反恶意软件、数据外泄保护、网络入侵检测、防火墙等传统安全控制措施的性质。目前,借助威胁情报等建立的安全大数据分析与共享机制,可以做到快速打通传统安全措施和新兴安全技术之间的信息壁垒,大幅提高安全检测和响应处置的速度和效率,使得传统安全防控措施的效能得到全面提升,形成一个“云+地一体”的安全情报应用服务体系,以较低的技术成本实现安全产业链的转型升级,并适应未来安全保障的实际需要。
(三)借助自身平台的海量数据资源支撑,对所有历史情报和安全基础信息进行格式化关联,并以“1+N”模式开放相应的威胁溯源服务。安全运营人员除通过API接口获取单条或多条威胁的溯源结果信息外,还可通过可视化界面进行关联数据多层钻取,以获取威胁线索扩展分析与溯源定位能力,辅助其开展事件分析与响应处置工作。
三、建设内容
建设本地化威胁情报管理平台,收集并汇总多方威胁情报源数据,多渠道、全方位引入内外威胁情报资源,融入大数据中心,形成核心“威胁情报库”,生成攻击者画像标签。基于安全大数据中台,汇聚现有安全产品的日志和流量信息,通过网内全流量采集探针和终端采集能力,结合安全编排及自动化(SOAR)和扩展式检测响应技术(XDR)相关理念和技术,自动化关联系统资产、安全漏洞、全网流量、终端行为、威胁情报等上下文信息,对网络空间威胁进行监测,对网络安全威胁情报进行侦察,失陷对网络攻击活动的追踪溯源,将“事前主动预警、事中应急响应、事后多维追踪”落到可操作层面。通过交互式取证功能和威胁评分等方式辅助人工分析研判工作,提高了安全监测、事件分析和告警研判工作的自动化比例,节省了安全人工成本,并提高了安全运营的整体效率。
具体建设包括以下内容:
(一)开源威胁情报采集
开放威胁情报数据散落在网络的各个安全社区、安全厂商、技术博客等,需要主动去获取具体的威胁情报数据。由于来自不同数据源的数据往往具有不同的表达形式,并存在很多无价值信息,因此如何对主动获取的数据进行清洗和解析是一个研究内容。此外,由于不同数据源可能会对同一威胁事件进行报告,或者我们多次获取了相同的情报数据,在解析过程中完成冗余数据的清洗也是很重要的。从各个数据源获取的开放威胁情报可以在语义上分为若干类别,各个类别之间可能存在语义上的联系,在清洗解析完所获得情报后,需要依照一定的准则对它们非结构化威胁信息抽取。在网络安全威胁情报主动监测机制下构建一个针对网络安全事件分析报告、黑客组织分析报告等非结构化文档进行统一爬取、预处理、IOC或者黑客组织信息抽取的功能模块,并且将抽取的信息用JSON格式。整个非结构化威胁情报抽取系统主要分为数据爬取模块、情报文本解析模块、关键新词提取模块以及网警信息存储模块,同时该系统还提供Web访问接口,便于查询和管理抽取出的相关信息。
(二)互联网资产安全监测
通过主动探测的方式将在网资产进行归类识别,分清网络设备、安全设备、终端设备、主机设备、操作系统、数据库、应用系统、中间件等,收集产品品牌、型号、系统版本、端口情况、使用频次等。掌握在网资产的安全状态,形成安全管理的抓手。
通过高速探测数据分析前端探针服务器对在网设备的端口进行探测并接收保存目标反馈的数据包,然后根据已知的木马、未知攻击行为、漏洞、后门的情况做出专业的专家模型,利用机器学习基于时间轴的数据序列的相似性、异常端口协议、数字签名、异常行为模块等多维判断已知和未知的攻击行为。
(三)攻击面监测
从攻击者视角出发,梳理真实的攻击路径,识别和处理最有可能被利用针对企业进行攻击的威胁因素,找到能真正对业务造成影响的风险,并进行优先级排序,减少无效噪音,将资源集中在关键问题上,减少缓解⻛险所需成本。通过攻击验证能力,精准发现当前靠近关键资产的核心风险,并基于攻击者经验绘制完整的攻击路径,找到受影响的资产清单,以点连线,便可直观预测攻击者可能攻击的路径,以及受影响的资产面,同时基于攻击者视角快速绘制出当前阻力最小的攻击路径,通过修复某一切入点的中高危漏洞,实现快速切断攻击者的关键利用链路,达到保护核心重保系统的目标,实现主动防御来自最有经验的攻击者威胁。根据分析掌握的各种窃密行为木马、漏洞、后门等攻击框架,验证遵循此框架定义的各种专家分析模型探测脚本,通过脚本对指定网络范围进行快速主动搜索探测,利用机器学习基于时间轴的数据序列的相似性、异常端口协议、数字签名、异常行为模块等多维判断已知和未知的攻击行为。
(四)暗网舆情情报检测
基于对暗网组网方式的长期技术研究,利用暗网服务发布中所存在的算法漏洞实现对暗网节点的实时监测和暗网服务发现,从而可以快速掌握暗网中目前正在活跃的站点及服务情况。通过对暗网中各类违法网站的监测,识别数据泄露、数据交易等行为,及时提供相关敏感行为线索。
(五)网络安全相关基础数据查询应用
提供基于网络安全相关基础数据的查询应用服务,为运营人员分析网络攻击事件,尤其是服务攻击溯源工作提供工具和数据支持。包括:全球APT攻击事件库、恶意域名数据库、恶意IP数据库、恶意样本库、黑客档案库、全球域名whosi库、全球数字签名证书库、全球网站指纹库和网络攻击行为特征库等。
(六)告警日志串并
基于获取的网络攻击告警日志信息,结合威胁情报库中相关数据,梳理相关告警的攻击源IP和其他特征,实现相关网络攻击告警的串并,进而梳理出需要重大攻击事件线索。
(七)情报安全赋能
提供统一的API接口,本地安全产品或安全平台可通过API接口查询的方式,获取威胁情报信息,丰富告警上下问,协助威胁分析和研判,缩短威胁分析和处置周期。同时提供导出离线情报库的方式,为本地安全产品或安全平台赋能。
部署模式:
四、实施效果
通过搭建基于关键基础设施安全防护的威胁情报中心,实现网络安全防护从纵深防御向主动防御的转变,全面提升现有安全防护体系中的安全产品检测、防御、研判能力。多节点级联部署模式,实时共享最新威胁情报信息,快速传递高危攻击源信息,避免攻击者的横向蔓延,从点到面形成整体网络安全防御体系,有效抵御安全攻击。