《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二十四條要求保護(hù)工作部門要及時(shí)掌握關(guān)鍵信息基礎(chǔ)設(shè)施安全態(tài)勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅和隱患，做好預(yù)警通報(bào)和防范工作。該條款對(duì)網(wǎng)絡(luò)安全防護(hù)手段及安全人員能力提出了更高的要求。

當(dāng)前威脅檢測(cè)手段面臨的問(wèn)題

當(dāng)前的網(wǎng)絡(luò)安全防護(hù)手段，主要是通過(guò)從不同安全供應(yīng)商采購(gòu)的安全產(chǎn)品和系統(tǒng)進(jìn)行構(gòu)建。由于各產(chǎn)品和系統(tǒng)間關(guān)聯(lián)性不足，安全威脅仍是通過(guò)人力在不同系統(tǒng)間調(diào)度發(fā)現(xiàn)，檢測(cè)和響應(yīng)效率難以應(yīng)對(duì)網(wǎng)絡(luò)攻擊。如圖所示，攻擊者從初次發(fā)動(dòng)攻擊到成功滲入系統(tǒng)，通常分鐘級(jí)就可以完成；再?gòu)臐B入系統(tǒng)到竊取數(shù)據(jù)，也可以在幾分鐘內(nèi)完成。而對(duì)于系統(tǒng)安全防護(hù)人員，從攻擊者開(kāi)始實(shí)施攻擊，滲入到系統(tǒng)中，再到其惡意行為被發(fā)現(xiàn)，往往需要幾周到幾個(gè)月。發(fā)現(xiàn)惡意行為后對(duì)其進(jìn)行處置、對(duì)系統(tǒng)進(jìn)行修復(fù)，又需要花費(fèi)幾周時(shí)間。特別對(duì)于當(dāng)前越來(lái)越復(fù)雜的系統(tǒng)來(lái)講，檢測(cè)及響應(yīng)的時(shí)間進(jìn)一步加長(zhǎng)，難以滿足《關(guān)基保護(hù)條例》要求。

不同階段攻、防時(shí)間對(duì)比

威脅信息共享+自動(dòng)化集成的威脅防御方案

那我們應(yīng)該怎么做呢？將攻防雙方放在一個(gè)時(shí)間軸上來(lái)看，時(shí)間軸的上方是攻擊者在各個(gè)階段的攻擊動(dòng)作，時(shí)間軸的下方是系統(tǒng)安全防護(hù)人員對(duì)應(yīng)各階段采取的防護(hù)動(dòng)作。從攻擊者開(kāi)始攻擊，到系統(tǒng)安全防護(hù)人員檢測(cè)到攻擊，這段時(shí)間是攻擊者的自由攻擊時(shí)間。從系統(tǒng)安全防護(hù)人員檢測(cè)到攻擊，到整個(gè)系統(tǒng)的恢復(fù)，這段時(shí)間是系統(tǒng)安全防護(hù)人員的響應(yīng)處置時(shí)間。將問(wèn)題先進(jìn)行抽象，再考慮整個(gè)系統(tǒng)的復(fù)雜性，本質(zhì)上要解決的是，在復(fù)雜網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的快速檢測(cè)和快速響應(yīng)處置問(wèn)題，以盡可能縮短攻擊者的自由攻擊時(shí)間和系統(tǒng)安全防護(hù)人員的響應(yīng)處置時(shí)間，減少威脅的影響范圍和損失。

這就要求用戶能夠?qū)⒋媪肯到y(tǒng)的安全能力和未來(lái)增量系統(tǒng)的安全能力進(jìn)行充分整合，以實(shí)現(xiàn)1+1》2的效果，而不是當(dāng)前“串糖葫蘆”似的構(gòu)建安全能力?；趯?duì)各系統(tǒng)安全能力的有效整合，進(jìn)而實(shí)現(xiàn)涵蓋IPDRR全周期的安全自動(dòng)化操作，包括識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。與此同時(shí)，還需要構(gòu)建跨組織的、可機(jī)器讀取的、上下文豐富的增強(qiáng)威脅信息共享機(jī)制。包括但不限于IOC失陷指標(biāo)、Playbook安全劇本、TAC攻擊者上下文、報(bào)告和規(guī)則特征等內(nèi)容，以降低攻擊者的攻擊靈活性，從而在速度和規(guī)模上提高自動(dòng)化防御的有效性。

要推動(dòng)上述目標(biāo)的達(dá)成，在技術(shù)方面，需要構(gòu)建一套安全能力、數(shù)據(jù)的集成方案和機(jī)制，以實(shí)現(xiàn)對(duì)多個(gè)不同來(lái)源數(shù)據(jù)信息的集成，進(jìn)而開(kāi)展自動(dòng)化的風(fēng)險(xiǎn)判定和響應(yīng)處置的決策，并將響應(yīng)決策同步到設(shè)備中進(jìn)行操作。另外，威脅信息的不斷豐富及自動(dòng)化共享也是非常必要的步驟。具體可以考慮從以下四方面進(jìn)行重點(diǎn)構(gòu)建。

1、實(shí)現(xiàn)對(duì)安全設(shè)備和系統(tǒng)能力的統(tǒng)一調(diào)度

目前的網(wǎng)絡(luò)防護(hù)系統(tǒng)大多都是孤立運(yùn)行，并且常常是靜態(tài)配置，這導(dǎo)致網(wǎng)絡(luò)安全防護(hù)操作只能依靠人來(lái)執(zhí)行，效率極低。對(duì)于用戶而言，應(yīng)對(duì)網(wǎng)絡(luò)攻擊往往需要多種安全技術(shù)協(xié)同工作，但是不同的安全防御組件和技術(shù)的集成往往代價(jià)很高，通常需要定制通信接口（專有API）。另外，由于各廠商安全產(chǎn)品的功能差異，產(chǎn)品中的某個(gè)功能模塊可能會(huì)與其他功能模塊緊耦合，無(wú)法通過(guò)API直接訪問(wèn)，從而降低了產(chǎn)品與其他工具動(dòng)態(tài)整合的靈活性。因此，引入標(biāo)準(zhǔn)化、以功能為中心的命令和控制接口可以增強(qiáng)技術(shù)多樣性和系統(tǒng)功能調(diào)度的能力，同時(shí)降低設(shè)備管理的復(fù)雜度、簡(jiǎn)化集成過(guò)程。

2、對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化定義，實(shí)現(xiàn)機(jī)器讀取

標(biāo)準(zhǔn)化、規(guī)范化是安全自動(dòng)化的基礎(chǔ)，但標(biāo)準(zhǔn)化的粗細(xì)粒度和范圍則直接影響工作量和可落地性。筆者認(rèn)為，對(duì)不同類型的數(shù)據(jù)需要采取不同的標(biāo)準(zhǔn)化策略：

對(duì)于跨域/跨系統(tǒng)流動(dòng)的數(shù)據(jù)、差異性/變動(dòng)性較小的數(shù)據(jù)，是標(biāo)準(zhǔn)化的重點(diǎn)，如威脅信息數(shù)據(jù)、用于安全能力調(diào)度的命令和控制數(shù)據(jù)等。

對(duì)于一直增加且持續(xù)變化的數(shù)據(jù)，如脆弱性數(shù)據(jù)、資產(chǎn)描述數(shù)據(jù)、事件描述數(shù)據(jù)等，需要有專業(yè)組織來(lái)定義和維護(hù)。

對(duì)于業(yè)務(wù)差異和變化較大的數(shù)據(jù)，如告警日志、樣本檢測(cè)結(jié)果、安全事件等內(nèi)容，建議通過(guò)枚舉的方式對(duì)部分關(guān)鍵字段或補(bǔ)充字段內(nèi)容進(jìn)行標(biāo)準(zhǔn)化，如在告警日志、安全事件內(nèi)容中補(bǔ)充攻擊手法或攻擊模式信息，便于更高層次的綜合分析。

對(duì)于當(dāng)前采用較多的安全數(shù)據(jù)集中化存儲(chǔ)方案，建議補(bǔ)充跨廠商、跨產(chǎn)品的數(shù)據(jù)分布式存儲(chǔ)方案，作為客戶可選方案。通過(guò)構(gòu)建統(tǒng)一的數(shù)據(jù)中間件，實(shí)現(xiàn)標(biāo)準(zhǔn)化的數(shù)據(jù)查詢和結(jié)果返回，進(jìn)而構(gòu)建全面的雙邊連接，實(shí)現(xiàn)跨網(wǎng)絡(luò)、文件和日志域的復(fù)雜查詢和分析。

3、構(gòu)建數(shù)據(jù)承載機(jī)制，確保數(shù)據(jù)的高效流動(dòng)

傳統(tǒng)安全設(shè)備之間通過(guò)接口進(jìn)行點(diǎn)對(duì)點(diǎn)的連接，一旦業(yè)務(wù)復(fù)雜后，隨著安全設(shè)備數(shù)量的提升，點(diǎn)對(duì)點(diǎn)的連接數(shù)量呈指數(shù)級(jí)增長(zhǎng)，部署效率和通信及時(shí)性都受到嚴(yán)重影響。而通過(guò)定義一套通信模型，使得傳統(tǒng)一對(duì)一的通信演變成開(kāi)放數(shù)據(jù)交換層，使接入的安全設(shè)備能夠?qū)崟r(shí)共享威脅信息和協(xié)調(diào)安全操作，提升事件處置的效率和及時(shí)性。

4、在特定應(yīng)用場(chǎng)景下，牽引安全能力和數(shù)據(jù)集成方案的落地

市場(chǎng)需求往往是由特定安全應(yīng)用場(chǎng)景進(jìn)行引導(dǎo)，而要實(shí)現(xiàn)不同場(chǎng)景下安全能力的有效整合和復(fù)用，則需要在這些安全場(chǎng)景下實(shí)現(xiàn)上述標(biāo)準(zhǔn)和機(jī)制的應(yīng)用。筆者建議優(yōu)先在零信任、態(tài)勢(shì)感知、響應(yīng)編排、威脅信息共享等場(chǎng)景，推動(dòng)標(biāo)準(zhǔn)的應(yīng)用和改進(jìn)，并最終實(shí)現(xiàn)落地和推廣。

結(jié)束語(yǔ)

最后，在產(chǎn)業(yè)和政策方面，建議構(gòu)建產(chǎn)品的能力和標(biāo)準(zhǔn)認(rèn)證體系，為企業(yè)的集成能力背書(shū)；同時(shí)，將互聯(lián)互通相關(guān)標(biāo)準(zhǔn)的應(yīng)用，納入到事前招標(biāo)要求和事后跟蹤監(jiān)督，確保能力集成的真正落地。