◎北京安天網(wǎng)絡(luò)安全技術(shù)有限公司 王長(zhǎng)江 張登峰

關(guān)鍵信息基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)需要構(gòu)建與威脅相抗衡的體系化安全能力，安天提出的動(dòng)態(tài)綜合網(wǎng)絡(luò)安全防御體系解決方案，利用安全數(shù)據(jù)預(yù)處理技術(shù)、大數(shù)據(jù)分析與建模技術(shù)、數(shù)據(jù)可視化技術(shù)，并依托威脅情報(bào)獲取、分析能力，提供網(wǎng)絡(luò)安全宏觀管理和全網(wǎng)態(tài)勢(shì)分析研判的能力。

一、打造動(dòng)態(tài)、綜合的網(wǎng)絡(luò)安全防御體系刻不容緩

當(dāng)前，國(guó)際形勢(shì)日趨復(fù)雜，大國(guó)間圍繞網(wǎng)絡(luò)空間情報(bào)與反情報(bào)作業(yè)的攻防博弈愈演愈烈，疑似針對(duì)我國(guó)高價(jià)值網(wǎng)絡(luò)信息系統(tǒng)的入侵事件時(shí)有發(fā)生，我國(guó)面臨的網(wǎng)絡(luò)安全形勢(shì)極其嚴(yán)峻。習(xí)近平總書(shū)記在網(wǎng)絡(luò)強(qiáng)國(guó)系列講話中指出，“樹(shù)立動(dòng)態(tài)、綜合的防護(hù)理念”“實(shí)現(xiàn)全天候全方位感知和有效防護(hù)”“做到關(guān)口前移，防患于未然”，這對(duì)關(guān)乎國(guó)家安全、國(guó)防安全的要害網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)工作提出了明確要求。

我國(guó)大型軍工企業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)，具有與國(guó)家安全相關(guān)的重要意義，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。面對(duì)來(lái)自敵對(duì)勢(shì)力、犯罪團(tuán)伙、黑客組織的真實(shí)威脅，安全防護(hù)責(zé)任重大，必須構(gòu)建足以與威脅相抗衡的體系化安全能力。

從客觀條件上來(lái)看，當(dāng)前網(wǎng)絡(luò)安全防護(hù)工作還面臨安全預(yù)算投入占比較低、安全運(yùn)營(yíng)人員不足、業(yè)務(wù)快速發(fā)展變化等現(xiàn)實(shí)問(wèn)題?；诖?，安天提出了動(dòng)態(tài)綜合網(wǎng)絡(luò)安全防御體系，該體系以“敵已在內(nèi)”的敵情想定為前提，以構(gòu)建可擴(kuò)展的防御能力主軸為當(dāng)前現(xiàn)實(shí)目標(biāo)的總體思路；通過(guò)安全能力原生融合、網(wǎng)空地形塑造、威脅行為拒止、集中管控態(tài)勢(shì)、實(shí)戰(zhàn)化安全運(yùn)行等關(guān)鍵方案的落地實(shí)施；協(xié)助客戶形成對(duì)于高級(jí)威脅行為體網(wǎng)絡(luò)攻擊的有效遲滯、阻斷和呈現(xiàn)對(duì)手殺傷鏈，對(duì)于可以批量擴(kuò)散的威脅，可以實(shí)現(xiàn)實(shí)時(shí)或者準(zhǔn)實(shí)時(shí)化的攔截，達(dá)成最高的防御投入的效費(fèi)比，并為能力的全面擴(kuò)展形成基礎(chǔ)底盤(pán)。

二、體系框架設(shè)計(jì)

安天動(dòng)態(tài)綜合網(wǎng)絡(luò)安全防御體系參考“疊加演進(jìn)”、“IPDRR”等安全模型，并借鑒軍事陣地防御思路，以威脅對(duì)抗和形成層次化安全能力為縱軸，提出階梯防御模型框架，并以此為基礎(chǔ)設(shè)計(jì)動(dòng)態(tài)綜合安全防御體系框架及關(guān)鍵舉措。

動(dòng)態(tài)綜合防御體系框架

關(guān)口前移，原生融合：在威脅對(duì)抗的過(guò)程中，由于供應(yīng)鏈涉及的環(huán)節(jié)、角色眾多，結(jié)構(gòu)異常復(fù)雜，攻擊者可能會(huì)利用供應(yīng)鏈的各個(gè)節(jié)點(diǎn)、環(huán)節(jié)的安全隱患，從上游、中間環(huán)節(jié)、地下供應(yīng)鏈等方面，無(wú)孔不入的對(duì)目標(biāo)進(jìn)行發(fā)起攻擊行為，成為安全的最基礎(chǔ)的隱患，因此相關(guān)設(shè)備是否先天帶有網(wǎng)絡(luò)安全基礎(chǔ)基因和管理能力至關(guān)重要。可通過(guò)獨(dú)一無(wú)二的的基礎(chǔ)供應(yīng)鏈的積累，為網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、APP、專業(yè)智能終端等進(jìn)行賦能，將這些設(shè)備嵌入自主研發(fā)的引擎，在供應(yīng)鏈側(cè)構(gòu)建帶有安全內(nèi)核和加固能力的基礎(chǔ)安全產(chǎn)品，提升原生產(chǎn)品/設(shè)備的基礎(chǔ)安全性和可信度，進(jìn)一步形成面向上層提供管理接口。

地形繪制，環(huán)境塑造：摸清資產(chǎn)底數(shù)、洞察拓?fù)潢P(guān)系，理清業(yè)務(wù)場(chǎng)景，是進(jìn)行網(wǎng)絡(luò)安全防御工作的前提。形成準(zhǔn)實(shí)時(shí)化的網(wǎng)空地形，也是實(shí)施深度響應(yīng)和威脅獵殺的基礎(chǔ)。通過(guò)掃描測(cè)繪、流量發(fā)現(xiàn)和系統(tǒng)輕代理等多種方式采集硬件子地形、軟件子地形和服務(wù)子地形，形成有效的技術(shù)支撐。同時(shí)，對(duì)于整個(gè)網(wǎng)空地形，可通過(guò)蜜罐等產(chǎn)品實(shí)現(xiàn)整個(gè)網(wǎng)空的欺騙環(huán)境，通過(guò)脆弱性、暴露面實(shí)現(xiàn)威脅的誘捕。

威脅拒止、行為管控：在整個(gè)防御體系中，有效防御的關(guān)鍵能將絕大部分威脅予以實(shí)時(shí)化攔截，避免更多依賴后端長(zhǎng)時(shí)間的響應(yīng)流程閉環(huán)，導(dǎo)致成本和風(fēng)險(xiǎn)均不收斂。通過(guò)終端防御系統(tǒng)、流量檢測(cè)系統(tǒng)、威脅阻斷系統(tǒng)、威脅分析系統(tǒng)等產(chǎn)品的縱深部署，實(shí)現(xiàn)在檢測(cè)、防護(hù)、捕獲、分析、響應(yīng)各個(gè)環(huán)節(jié)阻斷、遲滯和呈現(xiàn)威脅攻擊殺傷鏈。

要素采集、復(fù)核標(biāo)定：面對(duì)高級(jí)威脅的挑戰(zhàn)，所有單點(diǎn)安全環(huán)節(jié)，均有被繞過(guò)和失效的必然性，因此在確保留痕的基礎(chǔ)上，應(yīng)實(shí)現(xiàn)全面的信息采集和對(duì)資產(chǎn)對(duì)象、代碼對(duì)象、流量對(duì)象、數(shù)據(jù)對(duì)象、用戶對(duì)象的充分元數(shù)據(jù)化拆解，支撐上層進(jìn)一步分析研判工作。

態(tài)勢(shì)管控，集中運(yùn)營(yíng)：通過(guò)以上要素采集，流量留存以及大量日志信息匯聚形成基礎(chǔ)安全態(tài)勢(shì)，支撐集中安全運(yùn)營(yíng)和態(tài)勢(shì)管控，指揮和協(xié)調(diào)單點(diǎn)安全設(shè)備及安全響應(yīng)、安全運(yùn)維相關(guān)人員，實(shí)現(xiàn)對(duì)日趨復(fù)雜的威脅進(jìn)行精準(zhǔn)對(duì)抗與動(dòng)態(tài)響應(yīng)，全面提高網(wǎng)絡(luò)整體防護(hù)水平。

三、關(guān)鍵舉措

（一）夯實(shí)基礎(chǔ)架構(gòu)，塑造利我網(wǎng)空地形

建設(shè)集中的資產(chǎn)安全運(yùn)維管理系統(tǒng)，面向規(guī)?；男畔①Y產(chǎn)管理場(chǎng)景，提供安全運(yùn)維門(mén)戶、資產(chǎn)管理、配置管理、漏洞與補(bǔ)丁管理、日志與告警管理、日常安全管理等功能，以實(shí)現(xiàn)“資產(chǎn)配置漏洞補(bǔ)丁四打通，運(yùn)維安全一體化”為運(yùn)行目標(biāo)，協(xié)助網(wǎng)絡(luò)安全人員全面管控信息資產(chǎn)、智能調(diào)整安全配置、及時(shí)處置安全漏洞、充分審計(jì)系統(tǒng)日志、持續(xù)評(píng)估系統(tǒng)運(yùn)行，實(shí)現(xiàn)集約化、自動(dòng)化、精細(xì)化的資產(chǎn)安全運(yùn)維管理。

建設(shè)欺騙式威脅捕獲系統(tǒng)，在網(wǎng)內(nèi)布防欺騙式網(wǎng)絡(luò)資產(chǎn)，模仿高信息價(jià)值資產(chǎn)以及易受攻擊的關(guān)鍵資產(chǎn)，通過(guò)創(chuàng)建服務(wù)器類型、物聯(lián)網(wǎng)類型、工控類型等仿真設(shè)備組建與用戶環(huán)境相似的蜜網(wǎng)環(huán)境，通過(guò)暴露蜜罐存在的漏洞及服務(wù)來(lái)誘使攻擊者對(duì)其攻擊，誘敵深入，在保護(hù)信息資產(chǎn)安全的同時(shí)，分析攻擊對(duì)手使用的攻擊工具及手段，可協(xié)助現(xiàn)場(chǎng)運(yùn)維人員清晰地發(fā)現(xiàn)威脅、定位威脅、溯源威脅，支撐有針對(duì)性的進(jìn)行阻斷和防護(hù)。

（二）構(gòu)筑防御縱深，拒止攻擊管控行為

終端側(cè)部署智甲終端安全防御系統(tǒng)，覆蓋PC主機(jī)、服務(wù)器、虛擬化、云主機(jī)、容器等終端場(chǎng)景，提供惡意代碼查殺、實(shí)時(shí)主防監(jiān)測(cè)、勒索病毒增強(qiáng)防護(hù)、溢出攻擊和橫向系統(tǒng)防護(hù)等綜合威脅防御功能；融合主機(jī)防火墻、終端管控、外設(shè)管控、漏洞掃描、集中補(bǔ)丁修復(fù)等管理功能；支持對(duì)Rootkit、感染式病毒、宏病毒等內(nèi)網(wǎng)頑固威脅的有效處置，結(jié)合高級(jí)威脅追溯，可以實(shí)現(xiàn)全網(wǎng)威脅追溯。

流量側(cè)部署探海威脅檢測(cè)系統(tǒng)，以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，基于高速并行協(xié)議棧進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理，基于綜合網(wǎng)絡(luò)行為檢測(cè)引擎、AVL SDK下一代威脅檢測(cè)引擎、Trust Stream引擎、IoC威脅情報(bào)檢測(cè)等組合機(jī)制，通過(guò)多維度檢測(cè)手段，實(shí)現(xiàn)威脅的發(fā)現(xiàn)、威脅源頭定位，并對(duì)掃描、攻擊、傳輸、投放、控制、心跳、升級(jí)、竊密回傳等各種攻擊行為進(jìn)行檢測(cè)。同時(shí)，通過(guò)對(duì)網(wǎng)絡(luò)元數(shù)據(jù)、網(wǎng)絡(luò)傳輸數(shù)據(jù)、載荷行為數(shù)據(jù)等信息的全要素、細(xì)粒度記錄，對(duì)潛在威脅、未知威脅實(shí)現(xiàn)提早發(fā)現(xiàn)，提升用戶對(duì)定向攻擊等高級(jí)威脅的發(fā)現(xiàn)和溯源能力，協(xié)助用戶持續(xù)觀測(cè)資產(chǎn)安全遭遇的威脅狀況、預(yù)警網(wǎng)絡(luò)安全事件，有力支撐用戶網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作。

分析側(cè)部署追影威脅分析系統(tǒng)，其以文檔文件、可執(zhí)行文件、URL為分析對(duì)象，有效檢出分析鑒定各類已知與未知威脅，尤其對(duì)基于格式文檔的0day漏洞攻擊具備優(yōu)秀的檢出能力，通過(guò)動(dòng)靜態(tài)結(jié)合的手段對(duì)各種格式的文件進(jìn)行細(xì)粒度的向量提取和解析，深度揭示威脅行為細(xì)節(jié)，輸出詳實(shí)報(bào)告，追影在進(jìn)行判定后，結(jié)合白名單過(guò)濾機(jī)制，可以輸出多種樣式的威脅情報(bào)，實(shí)現(xiàn)客戶私有化的情報(bào)生產(chǎn)能力，輔助威脅處置和威脅獵殺工作。

處置側(cè)部署拓痕應(yīng)急處置工具，實(shí)現(xiàn)主機(jī)風(fēng)險(xiǎn)檢查、系統(tǒng)內(nèi)核分析、程序行為監(jiān)測(cè)分析等多種面向主機(jī)系統(tǒng)的安全功能，支撐一鍵完成相關(guān)的檢測(cè)、處置、證據(jù)提取等相關(guān)工作，也可以直接對(duì)系統(tǒng)及可疑對(duì)象進(jìn)行分析診斷。同時(shí)，提供了便攜式流量監(jiān)測(cè)工具、便攜式沙箱等設(shè)備選件。系統(tǒng)通過(guò)現(xiàn)場(chǎng)處置與遠(yuǎn)程協(xié)助兩種工作模式相結(jié)合，具有有效加強(qiáng)巡查監(jiān)測(cè)的全面性和深入度，提升取證處置效率、解決疑難雜癥、降維檢查維護(hù)人員的技能。

（三）集中管控態(tài)勢(shì)，協(xié)同指控聯(lián)動(dòng)處置

建設(shè)戰(zhàn)術(shù)型態(tài)勢(shì)感知平臺(tái)，通過(guò)融合多源安全數(shù)據(jù)和向量級(jí)威脅知識(shí)，自動(dòng)甄別感知、快速高效地實(shí)現(xiàn)威脅、脆弱性與異常行為的檢測(cè)識(shí)別、安全事件的理解分析，預(yù)測(cè)威脅影響范圍和下一步攻擊行動(dòng)，通過(guò)配備對(duì)抗攻擊行動(dòng)的裝備系統(tǒng)和處置流程，展開(kāi)協(xié)同響應(yīng)與處置的積極防御，實(shí)現(xiàn)有效抵御快速發(fā)生的網(wǎng)空攻擊行動(dòng)，及時(shí)阻止攻擊者入侵導(dǎo)致的網(wǎng)絡(luò)系統(tǒng)初始“淪陷”，快速采取響應(yīng)措施預(yù)防或阻斷攻擊者的后續(xù)行動(dòng)等實(shí)戰(zhàn)化安全防御。

（四）聚合威脅情報(bào)，驅(qū)動(dòng)快速檢測(cè)響應(yīng)

建設(shè)威脅情報(bào)聚合分析平臺(tái)，匯聚多源的威脅情報(bào)，提供針對(duì)攻擊者和威脅的確實(shí)證據(jù)和詳盡分析。幫助客戶快速掌握攻擊方針對(duì)自己的威脅信息，識(shí)別網(wǎng)絡(luò)中存在的安全威脅，進(jìn)而更加快速的進(jìn)行攻擊事件的檢測(cè)與響應(yīng)，提前做好對(duì)潛在威脅的防范，以及更高效的進(jìn)行事后關(guān)聯(lián)分析和追蹤溯源。

（五）實(shí)戰(zhàn)安全運(yùn)行，持續(xù)完善防御能力

建立健全安全運(yùn)行流程規(guī)范，建立完備、統(tǒng)一的安全運(yùn)行管理流程，包括資產(chǎn)管理、配置管理、漏洞管理、補(bǔ)丁與升級(jí)管理、日志巡檢、安全監(jiān)測(cè)、事件響應(yīng)與處置、威脅情報(bào)、安全審計(jì)等關(guān)鍵環(huán)節(jié)，落實(shí)安全運(yùn)行相關(guān)角色與職責(zé)，并提升信息安全團(tuán)隊(duì)的能力。

四、結(jié)束語(yǔ)

安天動(dòng)態(tài)綜合網(wǎng)絡(luò)安全防御體系解決方案，提供網(wǎng)絡(luò)安全宏觀管理和全網(wǎng)態(tài)勢(shì)分析研判的能力。利用安全數(shù)據(jù)預(yù)處理技術(shù)、大數(shù)據(jù)分析與建模技術(shù)、 數(shù)據(jù)可視化技術(shù)，依托我司威脅情報(bào)獲取、分析能力積淀，形成可推動(dòng)指導(dǎo)安全策略優(yōu)化調(diào)整的宏觀態(tài)勢(shì)。動(dòng)態(tài)綜合網(wǎng)絡(luò)安全防御體系能夠有效地支撐起國(guó)家對(duì)整個(gè)國(guó)內(nèi)網(wǎng)絡(luò)安全宏觀管理需求和全網(wǎng)態(tài)勢(shì)相關(guān)分析研判的能力需求。