網絡安全等級保護制度2.0標準正式發布
網絡安全等級保護制度2.0標準正式發布 來源:環球網
2019年5月13日下午,國家標準新聞發布會在市場監管總局馬甸辦公區新聞發布廳召開,網絡安全等級保護制度2.0標準正式發布,實施時間為2019年12月1日?!缎畔踩夹g 網絡安全等級保護測評要求》中,首次提出了對“威脅情報檢測系統”和“威脅情報庫”的要求。我們將分別從產品功能和技術要求的角度,介紹等保2.0中的威脅情報檢測系統。
威脅情報檢測系統是一類網絡安全基礎設施,對網絡流量和終端進行實時監控、分析,應用威脅情報,機器學習,沙箱等多種檢測方法,發現隱藏在海量流量和終端日志中的可疑活動與安全威脅,幫助企業安全團隊精準檢測失陷(被控)主機 ,追溯攻擊鏈,定位當前攻擊階段 ,防止攻擊者進一步破壞系統或竊取數據。
威脅情報檢測系統已被證實在日常安全運維和重?;顒?中發揮了關鍵作用。
從系統架構上講,威脅情報檢測系統與傳統的基于規則的檢測系統相比,有很大變革,至少需要具備如下八個模塊:
一、全流量的日志、文件提取與報警pcap存儲:對網絡全流量進行協議還原,提取網絡流量日志與流量中的文件,對所有報警和可疑網絡行為保存pcap以供后續分析,并提供可視化能力對機器的網絡行為進行深度分析;
二、威脅情報檢測模塊:分鐘級別同步最新的專業威脅情報數據,并用于實時流量檢測,情報包不只包含基礎的失陷指標IOC,還應包含黑客團伙情報信息;
三、機器學習模型檢測模塊:應用各類機器學習算法對傳統統計規則、威脅情報無法發現的網絡威脅進行檢測,如數據竊取行為、隧道通信行為、DGA域名等;
四、惡意文件檢測引擎模塊:對流量中提取的文件應用本地的文件檢測引擎,進行高效率的惡意文件識別;
五、沙箱檢測模塊:對本地可疑文件,應用本地或者云端沙箱技術進行判定;
六、內網橫向移動檢測模塊:支持接入內網流量發現內部橫向移動行為;
七、自定義情報檢測模塊:支持提供自定義情報功能,并應用于實時流量檢測;
八、攻擊鏈回溯分析模塊:對所有發現的各類威脅告警可以按照攻擊鏈進行關聯,完整回溯攻擊過程。
從功能角度講,威脅情報檢測系統需要具有如下特點:
一、快速檢測威脅,精準定位被控主機。
傳統邊界防護設備在防御常見威脅上起到了重要作用,但不能防范所有的攻擊行為,組織處于失陷狀態已經成為企業安全管理人員的常識。而威脅情報檢測系統的首要作用,就是基于威脅情報,補足傳統邊界防護設備在防御上缺失的環節, 在關鍵的“命令與控制”、“橫向移動”和“行動數據竊取”等環節中發揮作用,快速檢測出正在進行的威脅,并結合流量和終端監控,迅速、精準定位被控主機。
二、追蹤攻擊鏈全過程,及時發現竊取數據與破壞系統行為。
威脅情報檢測系統的核心能力是應用多種檢測機制在出站的網絡流量中發現訪問遠控服務器。檢測機制包括應用遠控類型的情報指標(IOC,Indicator of Compromise)、木馬協議分析特征分析、惡意樣本檢測引擎、沙箱動態行為識別、基于深度學習算法的DGA檢測和DNS隧道檢測方法等多種方法。利用以上檢測方法,不僅定位內部機器被控情況,也能夠全階段追蹤網絡威脅,及時發現網絡內部的暴力猜解、橫向移動、外連C&C等惡意行為,并檢測出數據竊取、破壞系統和業務連續性、挖礦、劫持肉雞等惡意行為。
(桔色部分為威脅情報檢測系統能力覆蓋范圍)
三、提供豐富的報警上下文,清晰展現內網關聯威脅和黑客信息,指導安全分析團隊快速分析和響應
威脅情報檢測系統能夠清晰地歸類威脅事件,并根據威脅情報提供豐富的威脅事件上下文信息,從而以攻擊鏈的角度繪制出主機的行為地圖,并通過可視化的方式將發現的失陷告警、關聯主機、威脅類型、黑客組織等進行關聯展示,呈現當前組織內的所有失陷情況及關聯威脅。
那么,威脅情報系統要怎樣挑選,才能讓企業在合規路上不走彎路?
首先,要注重威脅情報的質量。 威脅情報檢測系統的關鍵在于引入威脅情報,對于威脅情報質量的評判,全球權威信息化咨詢研究機構Gartner提出了覆蓋度、可執行力、專業性、準確度、可擴展性五個維度。尤其是準確度,是威脅情報質量中最重要的因素。因此,在評判威脅情報系統之前,要先評判系統的威脅情報來源,盡量選擇在威脅情報領域專業度高、產品被廣泛部署的廠商。
其次,做好POC測試驗證。 威脅情報檢測系統歸根結底是一項網絡安全基礎設施,一個合理且完備的測試驗證流程應該包括數據集收集、測試、驗證三個階段。
數據集收集是企業需要收集和整理待測試用的數據集,找到合適的流量鏡像點,提供給各個威脅情報檢測系統廠商開展測試。數據收集階段企業應該根據自身安全需求來確定最終測試的網絡區域,盡可能接近最終應用情報檢測系統的網絡區域。測試階段需盡應用真實的網絡流量,盡可能讓競測的廠商使用同一份網絡流量橫向對比測試結果。在驗證階段,需要對發現的報警進行及時的分析、取證以驗證準確性。驗證過程不僅包括取證確認報警確實存在,也需要對比各廠商產品提供的事件信息,豐富的上下文是后續使用系統并保證良好陰影效果的基礎,最終通過各家的檢出率、誤報率、上下文豐富程度等幾個維度的評估結果,來確定最終的威脅情報檢測系統供應商。
此外,選擇一個具有豐富威脅情報檢測系統落地案例的廠商,也是保證系統落地成功的重要因素 。
企業應當重視威脅情報,不僅僅因為等保2.0測評要求提出了新標準,更是因為威脅情報的重要性在全球化網絡環境中正在越來越清晰地體現出來,“知己知彼,百戰不殆”,此次等保2.0測評對于威脅情報的要求,正體現了國家對于建設網絡安全環境的重視,像威脅情報這樣的新技術在網絡安全行業中的應用和普及已經成為必需,把握好威脅情報,對企業網絡安全、社會網絡安全和國家網絡安全都有著重要意義。