安全态势建设需 “十年磨一剑显锋芒”（上）

什么是江湖？只要有人的地方就是江湖，人在江湖，江湖在身。第五空间亦是江湖，本质亦是人与人的博弈。

万物互联的大数据时代，网络已深入企业的生产、运营和销售当中，面对各种可知、可见和隐秘的安全威胁，多年来建设的安全防护技术体系不足以应对，对日益具有针对性、体系化、规模化的安全攻击和组织，运用态势感知做为整个安全运营和防御的枢纽与大脑，感知攻击行为、预测攻击趋势，联动各单点安全防护能力形成合力，实现威胁的快速响应、及时处置，与其进行真实的较量，形成切实有效的安全防护，从而保护企业内部资产和业务。

而无论是SOC、SIEM还是态势感知，面临平台性能与伸缩性、数据采集多样性与标准化、安全情境关联能力、安全响应处置成熟度、安全团队人才输出等问题，建设的效果往往不如预期，怎么才能达到效果呢，这需要做好长期的规划来建设好大数据架构的基础设施，明确监测目标或业务场景，持续不断的更新优化数据、算法模型，做好基本功之后再谈应急处置乃至安全运营。

平台系统化建设的思路可分四步：夯实大数据平台设施基础->持续完善大数据安全分析要素与方法->制定安全威胁处置手段->安全人才队伍培养。

1、夯实大数据平台设施基础

1.1保障平台的灵活扩展性、组件兼容性与数据容错性：

基于分布式架构的大数据平台，随日志量增长可平行扩展，使其拥有强大分析能力、快速查询效率和长周期数据处理能力；

平台功能模块化，提供一定的扩展能力，保持数据采集模块、威胁检测模块与平台的松耦合，使数据输入、数据输出接口相对独立；

具有灵活的API接口对接能力，可与ITSM类外部系统进行交互，同时也可支持调用漏洞管理、威胁情报、安全合规等其他平台的API进行数据的传递；

采集、消息处理、存储、检索各组件之间保持版本兼容性，保证数据的采集、传输、处理、存储和使用过程中的流转度、保真度；

数据采集、程序支持及存储组件ES要有容错机制，解决数据读取失败自动重传录入、程序假死、存储设备宕机等问题。

1.2提升安全分析引擎综合能力

安全分析引擎能够提供多种分析能力，基于安全威胁不同类型提供不同的分析方法，对安全威胁情况进行刻画，使用实时分析、离线分析、智能搜索进行威胁检测及态势场景分析，为安全告警、安全态势、威胁预警等上层功能提供数据支撑。

1.3做好数据“四可”治理，打通数据壁垒

数据不仅仅为日志事件还要包括情境信息、业务信息，是安全分析的关键因子，要考虑数据多样性、标准化、分类分级及共享机制，而数据自身的安全防控也不可缺少，这些问题的规避需要通过数据“可知、可用、可管、可控”做好预处理。

数据“可知”： 数据源多样化，不同部门间有共性数据，也有特性数据，针对共性数据定义统一解析标准。

数据“可用”: 建立跨部门协调决策机制，来平衡部门间数据共享的难度，保证业务数据独立性、共性数据统一、全量数据可重复利用。

数据“可管”： 对数据进行分类分级，规定数据提取的范围，依据接口规范明确数据提取的形式和格式，推动数据采集、保证采集数据质量。

数据“可控”： 在数据共享、使用的过程中应当做好脱敏脱密、明确用户的权限范围，保护数据机密性的同时避免数据被滥用。

2、持续完善大数据安全分析要素与方法

大数据安全分析其实就是数据挖掘与分析的过程，用数据来发现问题和寻找解决方案，通过数据获取、处理、分析和展示四个环节，来快速解决安全威胁（5W1H）：

a)WHO-谁来攻击的？（人物）

b)WHEN-什么时间发生的攻击？（时间）

c)WHERE-攻击发生的地点？（地点）

d)WHAT- 攻击的对象是什么？（对象）

e)WHY-攻击发生的原因？（凭据）

f)HOW-攻击是怎么发生的？（动作）

2.1 明确安全分析目标，按需获取分析三要素

（The Relationship Among Use Cases From Gartner）

场景：要解决什么安全问题？

互联网攻击：外部黑客攻击检测、勒索病毒防范、DDOS攻击等；

内部攻击：数据防泄漏侦测、内部资产风险监测、内部人员违规等；

业务风控：薅羊毛、撞／脱库、异常业务办理、接口安全分析、业务风险云图等。

数据：需要什么样的数据源？

Activity : 日志、流量、应用、终端、元数据及其它第三方数据等；

Context : 用户身份、资产、脆弱性信息、行为信息、情报信息。

分析：运用什么样的分析方法？

关联分析（专家规则）、动态基线（用户行为分析）、机器学习（模型分析）、对比分析（威胁情报关联）、用户画像等。

2.2依据场景和数据建立相适的分析算法/模型

在使用分析算法和建模之前，需要了解研究的对象是什么，通过业务场景多维度挖掘可用的信息，依据维度数值特征和统计特征建立合适的算法模型。同一个场景可能存在很多不同的检测方法，例如Webshell的异常检测：

最直接的方法就是使用字符进行规则匹配，这种做法准确率高、速度快，但是随着时间的变化规则库中的字符就会过时，达不到预期的检测效果；

通过把url转换成词向量，使用分类模型（例如随机森林）的方法可以在某种程度上补充规则的不足，但是这种做法还是没法做实质性的提升，同时这种还需要大量的label数据；

通过对webshell网页访问路径和其它正常网页访问路径的被访问区别（例如页面出入度、页面曝光时间、来访IP数量等维度存在差异），将网页访问路径这方面的属性提取，利用非监督学习（如孤立森林）有针对性的将webshell网页被访问特征孤立出来达到检测webshell的目的，但是这种做法需要的后期验证较多。

所以在建模时需要综合考虑企业的实力、安全需求和各种算法的优缺点，从实际情况出发选择算法。

目前主流的分析算法包括分类、聚类、关联分析等，对于在异常检测中的应用，可从场景概念、数据属性、当前挑战、常用手法四个角度来看。

2.3基于Threat Hunting安全攻击威胁分析方法

所谓“知彼，方能出奇制胜”，对于黑客的非法入侵也有行迹可寻，基本的套路是reconnaissance(侦察)，weaponization(武器构建)，delivery(载荷投递)，exploitation(漏洞利用)，installation(安装植入)，command and control(C2)(指挥和控制)，and actions on objectives(目标达成)7个阶段，每个阶段都有特定的攻击手段。基于洛克希德·马丁Cyber Kill Chain攻击链模型，构建网络攻击生命周期，提供安全分析与监测、安全防御与控制的全景图。

（网络攻击生命周期）

依据黑客攻击的路径和手段，建立基于Threat Hunting安全攻击威胁分析方法，对安全事件结果提供以攻击技术为分类的展示功能。将攻击过程简化为探测、攻击、安装、控制四个级别，在攻击过程中快速了解目标资产的伤害程度、攻击者的意图、利用的工具等等，实现针对性的策略响应，比如黑IP禁用、攻击范围限定等，必要时配合蜜罐蜜网进行主动欺骗防护，帮助管理人员争取更多的响应时间，避免威胁的范围扩散和资产价值的进一步损失。

探测阶段：攻击者通过扫描、钓鱼及社工等方式来获取主机、应用系统及网络设备存在的漏洞。

攻击阶段：针对探测阶段发现的漏洞，制定攻击策略及攻击工具，实施有针对的攻击。攻击活动包括暴力破解、访问控制漏洞利用、业务逻辑漏洞利用及系统可用性攻击等。

安装阶段：攻击者进行文件上传及漏洞利用的过程。攻击活动包括上传脚本、上传木马、上传病毒、访问绕行及权限提升等。

控制阶段：攻击者发起潜伏、隐藏行迹及发起攻击等过程。攻击活动包括横向移动、嗅探、数据收集、外部通讯等。

2.4 安全威胁可视化，洞察网络环境和资产安全动态

问题导向——从一个客观存在的安全问题，深入、细化到问题内部的方方面面，分解出问题考量的安全指标。

数据分析——将海量的、复杂的、看起来无法关联的数据通过数据挖掘建立关联关系，获得具有分析价值的信息。

可视设计——将抽象的数据转化为可见的图形符号，用人可理解的图形语言来描述数据的内涵。

通过在海量数据中提取真正需要关注的碎片化内容，与用户的个性化安全场景、业务安全指标的关联，利用图表工具简单直观的去描述网络环境和资产方面的安全状态、安全趋势来发现和解决问题。

未完待续，在安全态势建设需“十年磨一剑显锋芒”（下）中将讲解平台系统化建设后两步与总结及未来态势建设技术应用趋势。

作者简介

李朋洋，观安信息高级解决方案顾问，安全从业七年多，拥有CISP/CCIE/PMP资质。

曾多次负责千万级安全集成项目管理工作，参与运营商、政府、保险相关行业项目的咨询、信息安全 解决方案规划，在安全规划、工程实施、安全服务等方面有丰富的积累。

【擅长领域】项目管理、安全解决方案、大数据安全产品。