360安全大脑赋能安全运营与应急响应:海量数据下的实战方法论

“常态实战化的安全运营,能够提升企业整体威胁发现和应急响应的能力,在发生安全事件时,改进检测和响应时间,以最短时间保障业务系统的正常运行。”8月19日——21日,第八届互联网安全会(ISC 2020)的应急响应与安全运营论坛中,360集团信息安全中心负责人张睿带来《基于360安全大脑的威胁运营落地与实践》的分享,从360威胁运营的思路与方法、基于360安全大脑的威胁运营建设、基于360安全大脑的威胁运营工程实践三个方面论述了360的安全运营。

一、360威胁运营的思路与方法

1.威胁运营的现状:

360内部安全团队每天面对着非常复杂的运营战场,为满足互联网业务敏捷和弹性需求,将基础网络发展成为庞大异构的互联网业务混合云架构,全球设有200多个数据中心,十几万的云服务器,包括自建骨干网络、边缘网络,私有云和公有云,内部有容器等各类云原生服务等。通过移动客户端“360家”实现BYOD远程办公,集成了云盘、OA、IM等办公应用,后端联动API网关实现基于员工身份对业务系统访问的鉴权。

在高度复杂的基础架构环境下,每天威胁运营团队会面对各种安全问题。总之,在出现问题复盘时,运营的同学总会说自己本可以做到“更”好。

2.指导安全运营的核心思想:

安全运营团队真实想做的和现实做到的往往有非常大的差距,希望建造一个坚强稳固的堡垒,实际上经常会发现墙上破了一个又一个窟窿,运营人员总是在补窟窿的路上。

在逐步展开安全建设后,360安全运营团队意识到攻防本质上是成本的对抗,也是人与人的对抗,攻防之间需要形成一种相对动态的平衡,安全防御就要在受保护的目标资产价值、安全建设投入和性价比之间的做好平衡关系。

360内部指导安全运营的三条核心思想:(1)找准ROI持续投入进行安全建设;(2)自主可控,攻防实践加工具开发;(3)工程能力是落地安全防御体系能力的核心。

3.转变思路-走向真正的数据驱动安全:

通过落地基础的日常安全运营工作,可以形成纵深防御体系,提升攻击者成本,减小响应的时间窗口;但仅仅做好这些基础功课肯定还是不够的,会遗漏很多潜在的威胁。入侵是不可避免的,只要检测和响应足够快,业务不会被破坏。所以要转变思路,朝着真正的数据驱动安全的方向。

image001

数据驱动安全的理念代表着是一种检测思路的转变,由传统的以漏洞为中心,聚焦检测逐渐转向以威胁为中心,聚焦在数据收集上。传统的检测是依赖精准的特征,不太区分具体的威胁类型和场景去被动监测这些告警,而基于数据的方法主要会依赖各种来源的数据,逐步覆盖各类威胁场景的攻击手法,依赖内外部的威胁情报,主动做威胁狩猎。

总结来看,就是首先要去积极的检测和响应,结合特征检测和行为检测,运营人员需要主动威胁狩猎和响应,在检测上不再追求单点的完备性和告警的精准性,实现基于全盘数据的统筹关联,有点及面的实现对威胁的探索和发现。

1) 有目标的数据收集

为了实现基于数据驱动的威胁分析,首先需要做到有目标的数据采集与监测。首先数据的存储成本和传输成本是非常高的,数据也永远都没有收集完整的那一天,所以切忌盲目地去收集相关数据。

image002

从经验上来看,首先数据收集要尽可能去靠近一些收敛的集中点,这样可以降低数据收集或者标准化的成本。除此之外,数据本身的收集是一个长期的持续动态的过程。最重要一点就是数据一定要打好基本功,如果没有好的数据质量和数据维度,实际上很多分析工作是没有办法开展的。

2)  基于大数据科学分析方法的威胁判定

电影里的“照片墙”可以非常形象的表达在威胁运营的中面对的问题,首先是威胁运营的分析人员,在海量数据里往往看到的并不是威胁的全貌,能看到是单一的攻击线索,非常碎片化的信息,如何把这些海量的数据中碎片化的信息,通过线索关联起来,去定位攻击者或者受害者,然后找到攻击的手法和工具,这就是整体做威胁运营分析的最重要的思路。具体落地到威胁运营的数据上来看,一般来讲从海量的原始数据到最终的安全事件,是一个逐渐收敛的过程,总结来说就是做到向上智能归并,向下多级的钻取。

image003

3)  建立威胁模型关联聚合分析

image004

在实践中,发挥威胁运营价值很重要的数据包括网络侧NDR和终端侧EDR的数据,网络侧的数据会集中在攻击的初始阶段或者命令控制阶段,有比较高的实时性,能够比较好的实现溯源追踪,但是很难实现实锤,需要终端去做一些实证排查。另外一块是终端侧的数据,会集中在攻击的中后阶段,例如样本或者命令执行的前后阶段,往往是比较碎片化的,需要进行大量的回溯才能还原整个攻击事件。基于ATT&CK矩阵工具的对NDR和EDR覆盖矩阵点的分析结果可以看出,两侧数据的覆盖面是互补的,都无法完全覆盖所有攻击战术和手法,结合起来才能够看的更全面。

二、基于360安全大脑的威胁运营建设

1.落地可量化的安全运营评价体系

对甲方团队而言,安全运营最重要的就是关注它如何去落地。但为了去实现落地,在运营的过程中有非常多的点需要去落实,比如安全运营的结果如何去度量;日常运营的数据如何进行闭环;如何进行报表统计、向上管理可见;如何去消减误报,提升运营的效率;如何去区分违规还是真实有效的外部威胁;安全事件来了,如何做相关的应急预案;如何传承专业的运营经验,降低整个运营团队的知识成本等等。所有的问题都是在安全运营流程中需要去关注的,运营的核心关注点包括:一是威胁检测的覆盖面和检测能力,二是平均的检测和响应时间,三是运营的效率,是高度以结果为导向的。

总结来讲就是整个运营其实际上是以一个高度以结果为导向的结合人、技术、流程的活动,需要为安全目标负责,需要给业务创造安全的价值。

2.效能协同的运营组织建设

360内部安全运营的组织,并没有成立实体SOC组织,是建立在各团队跟运营相关的人员基础上形成的虚拟化的运营团体。

在团队建设上秉承的是专家团队的协同运营的模式,会分各个安全领域建立相关的安全小组和团队,尽可能的让专家的安全能力聚焦并固化在组织和平台里,整个运营团队的文化是一种敏捷的文化,通过Devops方式快速迭代运营平台、运营规则与运营流程。

从安全能力上来说,覆盖了业务安全和基础安全主要领域以及主流的安全能力技术栈,更上一层就是一些效能协同小组,例如安全运营SOC组,安全事件响应小组,红蓝对抗行动小组,最上层的是从业务赋能的相关小组。

3.360安全大脑赋能联动运营

image005

在整体威胁运营的架构设计上,360本身拥有海量的威胁情报数据的来源,利用360本身云端的安全大脑结合本地的安全大脑去做整体联动的运营。360海量的安全基础数据库每天会产生海量的威胁情报,结合这些威胁情报的线索和调用各类的云端的分析判定服务,会给本地威胁运营的数据分析平台做一个很好的赋能。

在威胁运营实践上,基于网络侧的数据和终端侧的告警数据和原始数据,通过本地安全大脑产生一系列的威胁告警,首先会做威胁情报和资产信息的丰富化;一方面在本地的数据分析平台上设定相关的关联分析规则来形成高危的安全事件告警,另一方面也会将本地必要的不太敏感的数据上传至云端大脑,结合云端的威胁分析和鉴定能力给出判定结果,通过这种本地结合云端的联动方式来建立威胁判定模型。

因为数据维度足够丰富,结合具体场景的建模有很多方法,例如云端沙箱检测完判定的精确结果,基于云端威胁情报查询返回的加权风险值,基于威胁场景和资产维度的加权风险值,以及规则、样本特征本身专家评分值等等,通过这一系列维度的分析,威胁模型才能够把一个不太容易关注的威胁告警在海量的告警里自动化的推选成高优先级的安全事件告警。

最后通过自动化编排的方式推送到相关运营平台上,包括工单平台,处置平台,阻断类产品如WAF、终端防护、下一代防火墙等等,让运营人员及时的发现和处置。

三、基于360安全大脑的威胁运营工程实践

1.安全融入基础架构,建立SDP安全架构

在基础安全方面,360内部安全建立了一套SDP零信任基础架构。目前已经实现了大数据的威胁判定的分析和整个SDP技术架构里面的网络会话的关联,这个分析系统主要会产生一些威胁判定的标签,这些标签会绑定到零信任基础架构的访问会话引擎里面,如果有些高危的威胁,会实时的进行相关自动化的处置。

2.统一精细化资产管理和脆弱性跟踪

在海量业务服务数据里做资产的发现和脆弱性的管理,360内部是通过“天相”这款工具去做资产扫描去以及相关的资产发现和脆弱性管理的。“天相”可以实现海量的资产的分布式的高效扫描,实现对整个资产和脆弱性的全生命周期的管理,运营人员能够第一时间确认相关资产的安全状态以及业务的重要程度等等。

3.建设方便运营人员的安全数据分析平台

image006

威胁数据分析平台的建设核心关注点就是要方便运营的落地,包括做威胁检测规则的开发和调试以及告警数据的回溯;其次这个平台要具备通用性,可以去适配不同的威胁场景。360实现了统一的SQL分析入口,所有的数据都可基于SQL去做数据查询;针对海量原始数据流式关联分析,通过Flink来实现对原始数据进行标记、清洗,并对关联分析产生告警丰富化,把告警数据打入告警展示平台;离线数据的关联分析实现了一套基于ES的类SQL语法形式化的规则引擎,运营分析人员只提取相关的关联分析特征,写好基于SQL关联规则,就可以把一些威胁事件,基于原始的告警数据关联筛选出来,形成威胁事件告警,并完成相关数据的丰富化。

4.高效整合NDR和EDR数据关联

在网络侧方面,通过全流量DPI的方式去覆盖了所有骨干IDC的南北向的出口,所有办公网包括南北向和东西向所有的流量以及邮件入口流量都做DPI的深度解析还原。主要还是以规则引擎为主,然后结合机器学习模型以及威胁情报去做相关的落地。网络侧给出的告警信息需要足够丰富,包括资产数据、情报数据还有一些云端大脑的鉴定的数据等等,这样通过关联分析才有更多的维度去做一些数据的筛选,筛选出一些更高危的告警。

在终端侧方面,检测的思路一块是在主机侧,一块是在终端里面去部署相关的代理,形成整体的检测思路或会把一些比较精准的轻量级的检测放在本地,例如像文件上传的检测,暴力破解的封禁等。一些更隐蔽的威胁或者一些更高级的威胁,会通过 EDR的模式把数据收集到云端,做相关威胁数据的分析。

5.走向未来的创新型SOC建设

360安全运营团队将延续360自主可控的安全能力建设的传统进行技术创新,探索威胁运营新的思路和方法,希望未来能真正做到风险预测和态势感知,也希望能给集团业务创造更多价值。

上一篇:硬盘故障率创下历史新低,HGST最靠谱

下一篇:中山大学中山眼科中心采用亚信安全XDR解决方案 全面推进等保2.0落地