企业纵深防御体系下的安全策略探索.docxVIP

企业纵深防御体系下的安全策略探索 一、安全团队面临的问题 1.?海量日志告警无法做到信息有效识别 有能力购买多家安全厂商设备的企业，其业务量体量较大，一些互联网发布站点的设备告警甚至可以达到百万级别。如果需要在其中区分真实攻击，难度无异于大海捞针，不过几天防守人员便会淹没在相似规则告警、重复流量告警、多类设备告警的海洋中，从而漏报切实需要关注的真实攻击事件。这样“探宝式”的日志分析工作不仅无法对真实攻击做出相对应的正确处理动作，同时也失去了网络攻防的主动权，这种情况下上架安全设备与不上架安全设备没有本质区别。 图一：2020年漏洞统计图 2.告警处置时效性较低 大量的日志除了会造成有效攻击筛选困难，同时对快速定位攻击IP、还原攻击链也同样造成了不小的影响。零散的、重复的无意义告警信息大大降低了安全运维人员对攻击事件的快速反应及快速处置能力，安全设备自身的能力也受制于无用信息的堆叠所造成的资源浪费。网络安全中的的攻击与防御如同没有硝烟的战场，战场之势的千变万化在这里也会体现的淋漓尽致，所以把握时间就是把握战场主动权。如果能有效的降低无用的告警信息，将防守人员的精力用在真实攻击上，那么“攻守之势异也”。 图二：2020年漏洞成因统计图 3.?事件误处置情况层出不穷 误封多由两种原因导致，其一是由于安全设备自身的规则误判引发告警，因为业务开发不规范导致业务请求中带有敏感参数触发告警，误报事件也是导致大量告警事件的主要原因，往往费心费力分析到最后发现是误报事件而且已经多次触发。其二，误封事件一般由误报事件联动设备自身的封禁导致，如IPS、WAF或与防火墙联动的设备，因误报事件导致业务出口被封或业务中断的情况也不在少数。 4.?攻击链追溯难度大 各设备的规则与日志的格式差异，流量地址的层层转换，使各个事件形成了零散的碎片。即使日志审计设备的接入也只是将零散的碎片汇总到了一起，无法形成有效的关联性。 二、安全策略探索应用 1.?数据取样 数据作为整个系统的底层，是当前安全策略优化模型的支撑和运行基础。数据取样就是根据自身情况取一定时间范围内全量告警日志，时间周期越长，日志源越多，则分析结果越准确。同时还需考虑分析能力与日志的有效性。通过对选取数据模型的筛选及分析，实现数据的基础清洗，以达到降低分析难度、降低数据规模的目的，从而实现了攻击分析的效率提升。 数据统计内容可包含但不限于，日志数量、触发规则类型、受害IP资产以及攻击IP定位等信息。通过从宏观角度观察数据，来判断当前整体现状，日志梳理的范围及内容。 2.?攻击分析 分析的角度有很多种，如通过确认的恶意IP关联所触发的规则行为，或通过对目的IP的大量请求筛选恶意用户。目前，更建议使用恶意参数进行区分，忘记其他因素的干扰，只要确认请求中包含攻击行为即证明了IP的恶意行为也证明了规则的有效性。 分析的最终目的就是区分出误报事件与真实攻击事件。 误报事件需要定位具体的触发特征以及误报的具体原因，如因为规则造成可选择进行通过URL或具体特征等精准加白（不建议使用IP直接加白以免造成漏报）或联系设备厂商修改规则条件。如因为业务造成也可选择进行精准加白或联系业务人员进行整改。 特殊情况： （1）规则自身问题导致误报量巨大。 （2）规则阈值过于灵敏导致触发量巨大。 （3）自身对某些规则并不关注，这些情况可直接关闭规则或对规则逻辑重新调整。 真实攻击的标记是为了区分规则的有效性，先确认告警信息是否与规则逻辑一致，一致时再次确认整条规则是否存在误报，如确认为真实攻击或者误报已经过加白处置，可考虑添加设备阻断规则。 设备阻断形式大致分为两种，一是联动防火墙一段时间内封禁IP访问，一种是设备丢弃重置当前会话请求。两种方式无优劣性需要根据实际情况进行使用，区别在于防火墙主要是从ACL访问控制（IP、端口、网络协议等层面进行封堵），安全设备更偏向从网络流量的静态特征加以识别和阻断。 如大量扫描行为可直接封禁IP，单次或少量攻击可先进行重置动作。 3.?周期性变更流程 将分析结果形成策略优化报告，进行变更申请，其中需写明变更方式。变更后重点观察一段时间，需确认变更效果与预期一致，变更是否正常生效或未出现误拦截和加白导致的漏报等。 单次的优化只是针对取样范围内的告警日志，随着攻击手段的更新、特征库的更新、新业务系统的上线或者上次分析时的遗留问题，现有的防守规则策略有效性会逐渐降低，所以建议每隔一段时间或者有重点事件发生时再次进行整体的策略优化。 图三：周期性变更流程图 4.?区域流量特征甄别 （1）互联网边界 作为企业的互联网边界，更多的情况下需要面向公众服务；然而互联网是一把双刃剑，信息化带来便捷的同时也带来了一定的安全风险，网络便捷实际上就是网络安全的第一道防线，网络中的信息泄露、网络病毒和木马入侵等侵害行为