网络安全运营能力建设思路：技术能力建设

本系列文章共分为五篇，本文接上一篇文章，如欲了解前情，可点击以下链接进行回顾：

第一篇 网络安全运营的驱动力以及整体架构设计

四、技术能力建设

安全技术能力建设工作并非从零开始，而是以组织基础设施安全建设为基础，围绕组织机构的安全目标，建立与制度流程相配套并保证有效执行的技术和工具集，技术工具建议使用标准的安全产品或..，也可以是自主开发的组件或工具，技术能力建设需要进行整体规划和实现，且要和组织的业务系统和信息系统等进行衔接。同时，安全技术能力需要保证覆盖组织业务使用的各个场景中的安全需求。根据OWASP提出的Cyber-defense-matrix，将各项安全技术分别映射到不同层次的安全对象中。

4.1 资产测绘

随着组织越来越多的资产需要暴露在互联网空间，更大的网络空间暴露面带来了更多的网络空间安全威胁。特别是分支机构较多的大型组织，对资产及高危脆弱性的检查效率、准确性以及详尽的报告内容有着极高的要求，同时各监管机构要求组织能够预防并快速处置网络空间安全隐患，因此，组织需要理清资产，确定资产暴露面，快速定位并准确验证漏洞以提升网络和业务系统的健壮性和稳定性。同时，从运营者的视角出发，采用专业收集手段进行组织未知资产发现，以及对资产信息的变化和异动进行监测和管理，并分析资产间的关联性，自动梳理资产类型、服务与框架，帮助组织对资产进行透明化、智能化管理。

• 资产发现识别能力

资产发现能力是资产测绘的基础能力，必须在组织的某种环境或场景中发现存活资产，并且通过分析资产的所属业务属性来识别资产详情，包括资产所使用的操作系统、中间件、数据库、应用程序、开放端口以及与其他资产的关联关系等。资产发现能力还应是全面和精准的，避免因不完善的甚至错误的资产发现造成重大风险隐患。

• 资产持续监控能力

资产详细信息形成资产配置清单，这种清单并不是一成不变的，资产配置会随着业务需求的变更而不断变化，变化的范畴和频率是由业务的变更需求所引导的。要保证资产配置清单的持续有效，必须具备对资产配置变更的持续监控能力。安全运营人员一般可通过周期性资产发现和复查，及时发现资产信息的变化情况，进而对资产变更信息的确认和管理，确保后续安全运用过程中资产配置信息的准确性。

• 资产漏洞检测能力

安全运营人员通过定期的资产漏洞检测，特别是在出现0day、1day漏洞出现时，能够结合威胁情报信息全面、有效地识别资产存在的漏洞及风险情况，并利用安全运营团队技术实力和管理能力，持续进行整改加固，形成及时有效的漏洞响应处理能力。

4.2 IAM

身份识别与访问管理IAM（Identity and Access Management）技术是一套全面建立和维护数字身份，提供有效安全的IT资源访问的业务流程和管理手段，实现组织资产统一的身份认证、授权和身份数据集中管理与控制。身份和访问管理是一套业务处理流程，也是一个用于创建、维护和使用数字身份的支持基础结构。

IAM是实现零信任网络架构的基础，组织中应用IAM主要是定义和管理个人网络用户的角色和访问权限，以及规定用户获得授权（或被拒绝授权）的条件。IAM系统的核心目标是为每个用户赋予一个身份。该数字身份一经建立，在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。因此，身份管理的首要目标就是：从用户登录系统到权限授予到登出系统的整个过程中，根据需要在恰当的条件下及时赋予正确的用户对组织内适当资产的访问权。

IAM具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、可管理性等功能。IAM系统为各个管理员提供了修改用户角色、跟踪用户活动、创建用户活动报告和贯彻管理策略的工具及技术。这些系统的出现就是为了能够管理整个组织内的用户访问，并确保用户活动符合组织规章制度与监管规定。

针对用户对访问组织业务服务的安全使用要求的多样性，结合访问需求和特点，IAM可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术，通过制定基于主体属性和客体属性的访问控制授权策略来灵活设定用户对服务的使用权限，从而实现访问细粒度的访问控制。

4.3 EDR

端点（PC、服务器、移动设备和嵌入式设备等）作为构建信息化网络的基本组成单元和重要元素，具有部署范围广、使用数量多、承担业务功能多样、存储重要信息数据等特点，容易成为攻击的对象。攻击者往往首先利用目标网络中的脆弱端点建立据点，再通过进一步的漏洞利用构筑长期驻留条件，最终迈向既定目标。端点检测与响应（Endpoint Detection and Response，EDR），相比于传统的端点安全防护手段，EDR一方面借助于云计算和人工智能的威胁分析来解决传统端点防护产品无法解决的APT攻击问题；另一方面重点加强自动化的智能响应能力，大大降低了应急响应的技术门槛，使其依赖系统就可以自动实现攻击阻止、隔离修复、取证分析和追踪溯源。

EDR的核心在于，一方面利用已有的黑名和基于特征的端点静态防御技术来阻止已知威胁，另一方面通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的各类安全威胁。同时，基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应，并进行自动化阻止、取证、补救和溯源，从而有效地对端点进行安全防护。

在 EDR中，通常由端点和端点检测和响应中心组成，端点只具备信息上报、安全加固、行为监控、活动文件监控、快速响应和安全取证等基本功能，负责向端点检测与响应中心上报端点的运行信息，同时执行下发的安全策略和响应、取证指令等；而端点检测与响应中心负责资产发现、安全加固、威胁检测、响应取证等。

相较于传统的端点安全防御技术，EDR 借助于云计算和人工智能技术，完整覆盖端点安全防御全生命周期，主动发现和清除来自外部或内部的安全威胁，显著提升了端点应对 APT 和未知威胁的主动防御能力，将是下一代网络安全体系的重要组成部分。

4.4 数据保护

数据是数字经济时代最重要的生产要素之一，大数据高速发展的同时，数据破坏、泄露事件屡有发生，并且规模和严重程度越来越大，数据安全问题已成为各行业创新发展的制约因素之一。数据保护以数据为核心，聚焦数据安全生命周期，将数据生命周期的安全要求映射到数据安全实现技术上，分别对数据的采集、存储、传输、处理、交换和销毁过程域进行相应的安全控制，夯实数据安全技术底盘，构建数据安全场景落地，实现组织数据资产可视、数据血缘可溯、数据风险可控、数据威胁可管。

• 数据采集安全

数据采集阶段主要是在基础安全能力的基础上，增加安全验证、数据清洗、数据识别、数据标签等安全技术应对措施。

• 数据安全加密

数据存储隔离与加密采用前置代理及加密网关技术、应用层改造加密技术、基于文件级的加解密技术、基于视图及触发器的后置代理技术、基于表空间加密技术对数据进行加密存储；数据传输加密应明确需要进行加密传输的场景后，选择合适的加密算法对数据进行加密传输。

• 数据访问控制

可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术，保证在数据生命周期的各个阶段和不同场景下的数据的机密性和完整性，允许合法使用者访问数据资产，防止非法使用者访问数据资产，防止合法使用者对数据资产进行非授权的操作访问。

• 数据泄漏防护

数据泄漏防护的核心思想就是沿着数据传递方向逐级进行防护，进而达到降低风险的效果。数据泄露防护在数据资产分类的基础上，结合组织的业务流程和数据流向，构建完善的可能导致数据泄露各个环节的安全，可以采用的主要技术包括数据加密技术、权限管控技术、基于内容深度识别的通道防护技术。

• 数据脱敏

为确保数据脱敏过程可控，对敏感数据采用有效脱敏技术的同时需适应业务需求，目前数据脱敏的技术主要有为基于数据失真/扰乱技术、数据加密技术和数据限制发布技术。

• 数据审计

数据安全审计需要由以系统为核心向以数据为核心进行转变，覆盖数据处理各参与方以及整个数据生命周期，制定覆盖系统行为和数据活动的安全审计策略与规程，明确审计对象、审计目的、审计内容、审计方法、审计频度、相关角色和职责、管理层承诺、供应链上各参与方协调、合规性分析等内容，建立数据安全审计规程与协调机制，确保审计事件的可追溯性。

• 数据销毁

数据销毁主要是指获得组织、用户的授权许可或请求后对数据进行清除或销毁。使用组织授权的技术和方法对敏感信息进行清除或销毁，保证无法还原，并且具备安全审计能力。

4.5 流量检测

高级持续网络攻击(APT攻击)能利用各种攻击手段针对特定目标实施攻击，在攻击后进行伪装，基于特征检测和行为检测的传统威胁检测手段已经越来越难以应对新型的安全攻击手法，因此需要多种基于流量的检测检测和分析技术组合应对。

• 病毒检测技术

通过对流量中的文件还原，将文件从传输协议中进行恢复。恢复的文件会经过多AV检测模块，对文件进行病毒查杀检测。通过威胁情报对还原的文件hash进行检测与对比，检查文件是否为流行恶意文件；通过文件规则检测，读取文件的特征，检测文件特征是否命中文件特征，对文件的特征指纹进行安全检查。

• 基因检测技术

传统安全威胁的检测是一种数字型检测，即使AI的检测结果也是通过值的对比来判断事件本身的安全性。但数值与数值之间的差异，容易产生误判。转换成基因图谱以后，无论文件如何改变、内容混淆，转后的图谱与已留存的家族图谱的内容几乎完全一致，误判率很低；且在家族图谱的存储过程中，过滤变化的内容，将固定不变的特征作为基因指纹，从而大大提高威胁变种的检测效率。

• 沙箱检测技术

沙箱是一个封闭的且独立检测环境，类似于蜜罐系统，用于检测网络攻击。沙箱技术也可以针对 0day 攻击，传统的异常检测使用的是特征检测方法，而 0day 攻击采用的是非未知的攻击技术，所以当有 0day 攻击时，使用沙箱进行检测可以提高防御入侵的能力，但被检测样本的复杂性和多样性使得沙箱检测变得非常局限。

• 异常检测技术

异常检测主要是识别异常活动，包括上下行数据异常流量比等行为特征。当遇到 APT 中的0day攻击时，没有异常的特征故无法检测，所以异常检测在平常首先需要采取的是对正常的网络行为建模，当检测的行为与建模行为有偏差时，就存在网络攻击。其核心是元数据的提取、对异常特征的检测和行为模式的检测。元数据包括时间、空间、流量等，用少量的数据去检测是否异常；异常特征涵盖了时间、空间、流量等基础特征，也可以用于互相计算而得出的新特征；行为模式主要是针对主机、服务器行为。

• 全流量检测技术

全流量是指对OSI七层协议每一层进行全方位检测。在应用层可以进行还原数据、内容，如还原下载附件，还可以还原行为。在传输层可以检测流量其是否加密，或者检测数据格式，还可以检测对消息的控制和管理。网络层是端到端的检测，可以检测数据包的大小，IP 地址等。数据链路层是单链路上的数据检测。物理层则可以用于检测帧、电流、信号等。

• 攻击溯源分析

网络攻击溯源通常是在网络攻击时对攻击者的查找，对应用层的ID 映射到 IP地址后，将应用层溯源转化成网络层的溯源，溯源内容包括攻击者发起的相关信息，如使用的设备、IP、邮件、日志、路由信息等等。然后可以将这些信息进行关联分析，提取特征或者找出交集，有利于对攻击源的快速定位、重建攻击链和识别攻击意图。在 APT 检测中，安全人员一般先检测出攻击或者预测出攻击，根据检测或者预测的结果进行碎片关联分析，最后查找攻击源。

4.6 攻击溯源

组织的攻击溯源能力是网络安全运营体系的重要组成部分，通过对资产与流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，有助于提高组织主动防御的能力。攻击溯源能力应从应急响应流程为出发点，结合组织自身管理要求，构建以下能力：

• 事件取证能力

事件取证能力属于取证技术的一种，主要归类为信息发现技术，对能够获取的原始日志做进一步的分析和关联判断，如在入侵事件发生时段内资产的系统负荷、系统的访问记录、IP来源。同时，能够支持攻击、入侵、篡改等安全事件发生后的取证能力，包括页面内容获取与比对、文件快照等。

• 事件管理能力

安全事件主要由安全设备分析后上报的事件以及人工发现的安全事件，事件管理能力支持各类安全事件的集中接入和解析呈现，并能够对安全事件做初步的归一化处理，发现重大安全事件的告警和应急上报流程。

• 资产关联能力

资产关联能力能够与组织内的配置管理系统、资产管理系统进行资产同步，在发现安全事件告警后能够准确地定位到资产的详细信息和责任人，如安全资产的价值、安全资产所属的安全域信息，以便进一步做出应急处置判断。同时，能够与其他多个安全..对接，实现多业务联动处置，做到人员、技术、..多维度联动。

• 行为溯源能力

行为溯源属于网络追踪技术的一种形态，网络追踪技术是指通过收集分析网络中每台主机的有关信息，找到事件发生的源头，确定攻击者的网络地址以及展开攻击的路径，将攻击者在网络中的活动轨迹进行串接，通过准确分析安全事件路径，为实现近源端拦截提供技术支撑。通常的溯源路径为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织。

4.7 UEBA

Gartner率先提出了用户行为分析UBA(User Behavior Analytics)的概念，旨在应对日益增长的内部威胁。后来，实体（Entity）的概念又被引入了UBA技术，并逐步演进成UEBA，其中E更多是指IT资产或设备，包括服务器、终端、网络设备等，通过对它们的行为异常分析可以发现外部或的网络攻击行为。

用户和实体行为分析是一种面向用户和实体的行为，通过对行为进行建模以创建基线，采用高级数据分析方法（如机器学习等方法）对用户和实体行为进行分析，并刻画用户和实体行为基线的技术，最后将其用于评估潜在风险。用户和实体行为分析与传统的网络安全检测手段最大的区别在于，传统的检测手段主要关注安全事件，而用户和实体行为分析是面向行为的。

用户和实体行为分析的重点在于分析用户和实体的行为，而行为分析更便于推测出用户或者实体行为的意图，可在海量的数据中发现用户和实体的可疑行为。用户和实体行为分析的数据来源包括用户信息、应用日志、设备资产信息、网络流量、主机日志和数据库日志等数据，从数据中提取用户和实体的各种行为，使用高级数据分析方法进行行为分析，并构建用户和实体的行为基线或模型，将偏离了行为基线的行为视为异常。

UEBA通过基于正常行为为人和机器行为创建基线来进行操作。使用数据科学创建用户或实体的每个适用属性的行为模型。给定足够的数据，可以识别出表示典型行为的趋势。与该基准的偏差很容易被视为异常行为和潜在威胁。UEBA可以帮助安全运营团队发现网络中隐藏的、或未知威胁，包括外部攻击和内部威胁；可以自适应动态的环境变化和业务变化；通过异常评分的定量分析，分析全部事件，无需硬编码的阈值，即使表面看起来细微的、慢速的、潜伏的行为，也可能被检测出来。

4.8 欺骗防御

面对各类新型的攻击手段，仅从防御者的角度出发、沿袭以往的修补漏洞、事后审计等传统网络安全防御思路已经落后，因此必须转换思路，引入更主动的、基于攻击者视角的网络安全新理念。而欺骗防御则是在这样的背景下催生的一门新兴前沿网络安全技术。欺骗防御技术是当前网络安全防御理念的一个重大转变，网络安全防御体系中的重要组成部分。与传统的“御敌于国门之外”“消灭一切漏洞和安全隐患”的安全防御理念有所不同，欺骗防御技术是一种主动式防御手段。

基于欺骗的防御技术是防御方为改变网络攻防不对称格局而引入的一种新思路，其核心思想是通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动，从而记录攻击者的活动与方法、增加其实施攻击的代价、降低其攻击成功的概率。基于杀伤链攻击模型在欺骗防御中的应用如下：

• 侦查阶段和武器化阶段

组织需要识别和确定目标，根据目标环境决定采取的方法，如确定目标操作系统、安全防护软件、应用软件、存在的漏洞等。在此阶段可以通过隐藏操作系统类型、提供虚假设备、提供虚假服务等手段，从而误导攻击者的武器研制以挫败攻击，或将攻击者注意力转移到虚假目标上从而发现攻击。

• 投送阶段

在此阶段攻击者要将生成的攻击代码发送至目标系统以建立初步的立足点。常用的方法包括钓鱼邮件、水坑攻击、恶意站点等。此时，组织的网络欺骗防御与边界防御设备相结合，当边界防御设备检测到恶意特征之后则将攻击流量转移到欺骗环境，也可以通过改变组织结构外形使得攻击代码被投送到错误的目标。

• 漏洞利用阶段和安装阶段

在此阶段当检测到针对漏洞的利用企图时，透明的将攻击者的探测流量转移到未打补丁的诱饵，诱饵将会返回存在漏洞的响应。同时，可以在系统中留下欺骗防御技术的特征，使攻击者以为攻击行为被记录从而阻止进一步攻击动作。

• 命令控制与任务执行

执行的任务可以分为两种，一种是控制系统以作为跳板进一步渗透，另一种是获取系统上的数据资源。对于以控制系统为主的攻击，任务执行相当于再次发起攻击，即新一轮的侦查，通过在网络中布设欺骗防御环境可以检测到被控节点。而对于以系统数据为目标的攻击，如果攻击者访问了作为入侵指示器的数据资源同样意味着攻击暴露。

通过进行欺骗防御技术可以有效弥补传统安全防御手段应对高层次网络攻击中存在的局限性和不足，提高组织安全事件发生时的分析和响应速度。此外，捕获的攻击数据可加工形成标准的本地威胁情报输出，在其他安全设备和安全子系统中流动，增强组织原有安全体系整体防护能力。

4.9 威胁情报

4.10 SOAR

4.11 SIEM/SOC/态势感知

---

长按下方..或点击底部【阅读原文】查看完整文章内容