王新寬 李志強 孟 凡 范學(xué)領(lǐng) 李 強 張淏湜

1.中國移動江蘇公司揚州分公司；2.揚州大學(xué)；3.南京大學(xué)；4.西安交通大學(xué)；5.揚州市政府資源中心

0 引言

隨著東數(shù)西算、數(shù)智化轉(zhuǎn)型如火如荼地推進，網(wǎng)絡(luò)規(guī)模越來越大，其上承載服務(wù)的民生類、政務(wù)類等系統(tǒng)，對百姓和政府的影響日益深遠。但在當(dāng)前動蕩的國際形勢下，網(wǎng)絡(luò)安全形勢日趨嚴峻，因此在重保（在重大活動期間或特定期間，對于通信和網(wǎng)絡(luò)安全的重要保障服務(wù)，以下簡稱“重?！保┢陂g面臨的壓力陡增。

重保時，如果將網(wǎng)絡(luò)安全防護體系比喻成一個“坦克車組”，那么研判系統(tǒng)就是“車長”，它負責(zé)使用雷達觀瞄設(shè)備對戰(zhàn)地態(tài)勢進行分析、判斷、支撐指揮決策。傳統(tǒng)的研判操作是以事件告警為觸發(fā)點的被動響應(yīng)模式，存在先天滯后性。

結(jié)合近年重保和護網(wǎng)的經(jīng)驗，通過分析重保期間網(wǎng)絡(luò)安全的痛點和需求，提出主被動結(jié)合等的新型研判分析模式，提供以攻擊者臉譜分析能力為核心的新型主動研判模式，將研判能力前置，對攻擊源頭分析管控，降低網(wǎng)絡(luò)面臨的威脅和風(fēng)險。

1 痛點與需求分析

結(jié)合本市政府大數(shù)據(jù)中心、華云大數(shù)據(jù)基地等近幾年網(wǎng)絡(luò)安全運維和重保的經(jīng)驗，進行研究。

1.1 痛點分析

網(wǎng)絡(luò)安全攻防是在業(yè)務(wù)可用性要求的懸崖邊上跳舞，攻防雙方在同一條隱形賽道上賽跑，落后就意味著失敗。所以對攻防研判而言，時效性和準確性屬于首要需求。傳統(tǒng)研判模式的痛點如下：

1.1.1 研判滯后且缺乏發(fā)現(xiàn)手段

研判滯后：傳統(tǒng)研判通過態(tài)勢感知等實現(xiàn)，缺點是告警帶動研判機制，研判的起點可能是攻擊鏈的中后期（傳送、控制階段），攻擊者可能已經(jīng)得手。在攻擊行為預(yù)判跟蹤方面，攻擊者可以在其選定的任意時間、任意資產(chǎn)暴露面上展開攻擊，防守者只能被動響應(yīng)，將網(wǎng)絡(luò)攻防不對等體現(xiàn)的淋漓盡致。

缺乏發(fā)現(xiàn)手段：雖然能通過沙箱、EDR（終端檢測與響應(yīng)）、內(nèi)存檢測、違規(guī)外聯(lián)檢測等手段發(fā)現(xiàn)免殺木馬的攻擊行為并及時進行控制，但這依然令終端或業(yè)務(wù)處于一種風(fēng)險狀態(tài)。

1.1.2 三個能力不足

承壓能力不足：運維團隊“人”的精力有限，SOAR（安全大數(shù)據(jù)分析平臺）等“系統(tǒng)”處理能力也有限，導(dǎo)致在重保期間遇到高并發(fā)攻擊時，超出人和系統(tǒng)的處理能力，形成風(fēng)險失控；且SOAR 等工具只能執(zhí)行一些簡單的標(biāo)準化操作（例如IP 封禁），能力存在局限性。

溯源能力不足：傳統(tǒng)模式“對事不對人”、“自保為主的防御思想”，使其缺乏對攻擊源頭的主動溯源能力、反向攻擊溯源的驅(qū)動力。表現(xiàn)在如下三方面：（1）“源于事件告警，止于封禁IP”，只能看到攻擊IP，不知道攻擊者是“誰”；（2）非重保階段沒有溯源的意愿和準備，導(dǎo)致重保階段缺乏溯源的能力；（3）高度依賴專家經(jīng)驗和反向滲透、社工庫、蜜罐內(nèi)置木馬等方式，溯源成本高、見效慢、成功率低。

處置能力不足：不可能為了安全而破壞業(yè)務(wù)可用性；通過邊界封禁IP 等手段阻止攻擊者，但攻擊者自身無損，可通過啟用其他路徑繼續(xù)展開攻擊。

1.2 需求分析

綜合前述內(nèi)容并結(jié)合重保研判實戰(zhàn)經(jīng)驗，提煉出以下需求：

（1）更早地研判切入點。需要消減傳統(tǒng)研判模式的滯后性，在攻擊鏈靠前的階段展開研判并識別攻擊事件和攻擊者。提升早研判、早發(fā)現(xiàn)、早處置的能力。

（2）需要更準確地對攻擊者的身份類型進行定位。不僅能通過有限的探測、攻擊行為日志和威脅情報碰撞，還能分析攻擊源時空行為、行為特征、歷史攻擊記錄等深層攻擊情報，并具備定位的能力。這是進行后續(xù)決策和處置的必要前提和關(guān)鍵依據(jù)。

（3）能通過平臺落地、標(biāo)準化服務(wù)落地等方式，來提供持續(xù)穩(wěn)定的標(biāo)準化研判分析能力。當(dāng)然還要考慮成本因素，能通過自動化、服務(wù)化等方式，提供便捷、更易用、可并發(fā)的網(wǎng)絡(luò)安全研判能力，節(jié)省人工等成本。

2 設(shè)計思路

依據(jù)國家網(wǎng)絡(luò)安全相關(guān)法規(guī)、等級保護指南、DevOps（Development 和Operations 組合的研發(fā)運營一體化）、態(tài)勢感知系統(tǒng)架構(gòu)等內(nèi)容，設(shè)計網(wǎng)絡(luò)安全整體框架；重保重點防范政務(wù)網(wǎng)與云上大數(shù)據(jù)系統(tǒng)，對攻擊進行主被動結(jié)合、同源分析等，實現(xiàn)前置研判，幫助防守方對攻擊者畫像，早發(fā)現(xiàn)、早定位、早處置。

2.1 打牢基座聚集政務(wù)網(wǎng)與云上大數(shù)據(jù)系統(tǒng)

重保的基礎(chǔ)是已具備了一定的網(wǎng)絡(luò)安全防護能力，而不是臨時抱佛腳。依據(jù)前述法規(guī)等內(nèi)容，進一步結(jié)合內(nèi)外部管理要求、DevOps 過程和方法等內(nèi)容，制定整體安全框架如圖1 所示，包括管理、運營、全生命周期等9 個模塊，通過自上而下的一整套措施，在經(jīng)過大數(shù)據(jù)分析后對每日對攻擊流量進行迭代，以動態(tài)清零的思路做好網(wǎng)絡(luò)安全研判管控工作。

圖1 網(wǎng)絡(luò)安全整體框架

隨著政務(wù)網(wǎng)云化推進，在云方面，本文聚焦“一個中心，三重防護”，即安全管理中心，通信網(wǎng)絡(luò)防護、區(qū)域邊界防護、計算環(huán)境防護。圖2 為云網(wǎng)絡(luò)安全圖譜，針對“一個中心，三重防護”的要求進行方案設(shè)計，建立以計算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、用戶層安全為保障，以安全管理中心為核心的信息安全整體保障體系。

圖2 云網(wǎng)絡(luò)安全圖譜

云為基，數(shù)據(jù)驅(qū)動，大數(shù)據(jù)系統(tǒng)孕育而生，這就不難理解為何近年來各市大數(shù)據(jù)局如雨后春筍般成立了。大數(shù)據(jù)系統(tǒng)，在“一個中心，三重防護”的基礎(chǔ)上，再細分為業(yè)務(wù)安全、應(yīng)用支撐環(huán)境安全兩個維度，如圖3 所示。

圖3 大數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)安全圖譜

2.2 主被動結(jié)合的新型研判模式

傳統(tǒng)研判模式是研判能力的基礎(chǔ)，可保障防守方研判能力下限。以攻擊者臉譜分析能力為核心的新型主動研判模式是創(chuàng)新，可以提升防守方研判能力上限。如表1 所示。

表1 傳統(tǒng)模式+新型模式

主被動研判模式并行，能獲得1+1>2 的效果。

主動研判源于告警，高于告警；通過引流等，實現(xiàn)“間諜衛(wèi)星”能力，實現(xiàn)云端本地，能力互補；通過片段、線索的分析可以掌握其背景、能力、范圍、成功事件，且可以持續(xù)分析跟蹤；通過大數(shù)據(jù)分析與存儲、規(guī)則庫與同源分析，將零碎的行為串聯(lián)成一個整體的事件，綜合分析組織或個人的背景、能力、意圖以及結(jié)果來做到有效的輔助決策。

2.3 針對威脅主體的前置研判模式

針對威脅主體進行攻擊者臉譜分析的研判模式：從“事”到“人”，將多起事件關(guān)聯(lián)到同一人；從分析威脅主體的客觀行動，到分析威脅主體的主觀意圖；通過云端黑客檔案、攻擊者臉譜情報等威脅情報進行碰撞，實現(xiàn)智能關(guān)聯(lián)分析；從“雷達”到“衛(wèi)星”；通過對攻擊者的“時空信息”分析，進行跨時空研判；還能從“事后”到“事前”。

3 研判分析模式與流程

網(wǎng)絡(luò)安全重保研判能力框架，包括研判分析與態(tài)勢預(yù)警（含同源分析和事件圖譜等）、外部聯(lián)動、接入對象接口等，具體如圖4 所示。

圖4 網(wǎng)絡(luò)安全重保研判能力框架

3.1 研判分析模式

專業(yè)的研判分析能力，是網(wǎng)絡(luò)安全重保研判解決方案的技術(shù)核心，分析模塊如下：

3.1.1 同源結(jié)果分析

通常攻擊者使用了大量代理IP、公網(wǎng)IP、秒撥技術(shù)、團伙多地進行配合行動等。需要根據(jù)不同的方法將屬于同一事件進行同源關(guān)聯(lián)，包括：

（1）靜態(tài)特征同源：提取攻擊者留下的靜態(tài)特征痕跡，如：域名、Ma、Cookie、惡意文件MD5、后門地址、XSS 平臺地址、DNSLOG 地址等。

（2）行為模式同源：提煉攻擊者的行為模式，將攻擊者的行為轉(zhuǎn)化為攻擊者向量，當(dāng)向量在一定時間窗口內(nèi)存在行為模式相似性則視為存在同源關(guān)系，后續(xù)經(jīng)過同源引擎進行進一步的研判識別。

3.1.2 事件指標(biāo)分析

事件指標(biāo)數(shù)據(jù)主要通過流式進行時間窗口化統(tǒng)計。統(tǒng)計事件信息如：攻擊成功次數(shù)、受害者的數(shù)量、后門的數(shù)量、告警總量、高危手法數(shù)量等，以上統(tǒng)計指標(biāo)主要為事件角度的統(tǒng)計數(shù)據(jù)。

指標(biāo)維度包括但不限于攻擊成功次數(shù)、受害者數(shù)量、攻擊失陷次數(shù)、IOC 數(shù)量、攻擊結(jié)果未知次數(shù)、攻擊嘗試次數(shù)、高危手法數(shù)量等。

3.1.3 事件圖譜生成

圖譜關(guān)系數(shù)據(jù)有兩種方式獲取，一是通過API 獲取數(shù)據(jù)；二是在批處理中進行提取數(shù)據(jù)并落盤，實體節(jié)點信息包括但不限于攻擊者IP、受害者IP、團伙ID、攻擊行為、攻擊者基礎(chǔ)設(shè)施等。然后采用知識圖譜知識表示和構(gòu)建方法生成時間圖譜。

另外，還能根據(jù)多個維度進行攻擊事件威脅評估，推薦的重點研判事件；對攻擊者屬性進行分析等。

3.2 研判流程

參照DevOps 的理念，提煉出“六步研判法”，通過自動或人工方式，從基本信息到攻擊者定位、處置的研判結(jié)果；每日對攻擊流量進行迭代，以動態(tài)清零的思路做好網(wǎng)絡(luò)安全研判管控工作。

（1）收集匯總：確?；A(chǔ)平臺安全數(shù)據(jù)監(jiān)控全覆蓋包括但不限于流量、日志、云平臺、供應(yīng)鏈安全信息等。避免因監(jiān)控數(shù)據(jù)覆蓋不到位形成基礎(chǔ)信息黑洞，導(dǎo)致研判不全面、不及時。

（2）提煉分析：通過規(guī)則優(yōu)化消除業(yè)務(wù)誤報、互聯(lián)網(wǎng)爬蟲、掃描器等干擾信息，將真正包含主管惡意威脅的流量提煉出來，進行重點分析。對于加密流量，通過代理解密設(shè)備對其進行解密。

（3）挑出攻擊：通過分析策略、引擎規(guī)則，將異常流量中的攻擊行為提取出來，形成待分析攻擊源數(shù)據(jù)。

（4）畫像：利用黑客檔案、攻擊者臉譜情報等威脅情報對攻擊源進行數(shù)據(jù)碰撞，從多維度、多時段補全攻擊者畫像信息。

（5）研判：通過系統(tǒng)規(guī)則及專家經(jīng)驗，對攻擊者進行臉譜研判，判定其身份類型；預(yù)設(shè)多種攻擊者臉譜，包括但不限于受信紅隊、安全公司、僵尸網(wǎng)絡(luò)、黑產(chǎn)團伙、白帽黑客、雇傭黑客等。

（6）下指令：對不同類型的攻擊者進行處置。

4 實施與效果

在原有網(wǎng)絡(luò)安全底座的基礎(chǔ)上，本文堅持“三個不”的原則，即不增加網(wǎng)絡(luò)安全運行風(fēng)險、不改變現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)、盡量不破壞現(xiàn)有業(yè)務(wù)機制。

本文通過旁路部署實現(xiàn)對客戶網(wǎng)絡(luò)、業(yè)務(wù)的安全監(jiān)聽及研判，輸出高價值的攻擊者研判信息。

4.1 實施內(nèi)容

基于原有安全基座，只要增加如下內(nèi)容：（1）重保研判主體系統(tǒng)：內(nèi)置重保研判分析邏輯及業(yè)務(wù)流程，是用戶進行重保研判數(shù)據(jù)查詢、業(yè)務(wù)操作的主系統(tǒng)；（2）本地攻擊者研判分析系統(tǒng)：本地流量切片分析，結(jié)合云端情報共同進行攻擊者畫像分析；（3）流量采集設(shè)備：研判系統(tǒng)及天炬配套的流量采集設(shè)備；（4）流量解密設(shè)備：流量采集配套設(shè)備，用于對ssl 流量進行解密；（5）蜜罐設(shè)備：在客戶內(nèi)外網(wǎng)部署蜜點，用于識別存在探測、滲透行為的惡意攻擊IP；（6）云探針：支持阿里云部署，可監(jiān)聽云主機日志及流量；網(wǎng)絡(luò)威脅主體情報，網(wǎng)絡(luò)威脅主體情報。

4.2 效果

實施后，實現(xiàn)了：更早識別定位攻擊者，提前斬斷攻擊鏈；更準確識別攻擊者類型，明確處置方式；更少攻擊流量抵達邊界，降低安全運營壓力；更少安全事件發(fā)生，網(wǎng)絡(luò)安全更有保障；更強的協(xié)同管控能力，分支機構(gòu)更安全；更強的溯源能力，可批量溯源。

2019 年以來，成功抵御1569 萬次的網(wǎng)絡(luò)和病毒攻擊；提升政務(wù)網(wǎng)27 家委辦局45 個新系統(tǒng)、IDC 數(shù)T 運營流量的“抵抗力”；圓滿完成全國兩會、國慶七十周年等重保期間網(wǎng)絡(luò)安全保障工作。

5 結(jié)束語

在對傳統(tǒng)重保研判的痛點和需求分析的基礎(chǔ)上，聚焦政務(wù)網(wǎng)和云上大數(shù)據(jù)系統(tǒng)，設(shè)計主被動結(jié)合、前置研判的新型研判分析模式與流程，取得了顯著效果。后續(xù)持續(xù)優(yōu)化事件指標(biāo)等參數(shù)，提升攻擊者畫像能力，并將直接推廣到中國移動長三角（揚州）數(shù)據(jù)中心。