NSA的網絡安全威脅運行中心(NSA Cybersecurity Threat Operations Center,簡稱NCTOC)相當於NSA的一個SOC,在CYBERCOM的配合下,用於對美國DOD的非密信息網絡實施安全運營。DOD的這張網絡遍佈全球,時刻面臨着各種威脅,在NSA常年7*24*356的運營之下,總結了不少運營經驗。NCTOC團隊面向運營人員,總結出了5大SOC運營原則:
1)建立可防禦的邊界(Establish a defendable perimeter)DOD經過多年的JIE(聯合信息環境)建設,連接互聯網的出口實現了大幅度的縮減,99%的進出Internet的流量都實現了僅通過很少的幾個網關來路由。如此一來,網絡邊界的可防禦性得到了極大地提升,一方面極大降低了對手入|侵網絡的攻|擊面,另一方面還可以專心在這幾個出口集中進行威脅監測。此外,可防禦的邊界還意味着要綜合使用基於已知特徵指標的、啓發式的和行爲的分析方法,並將其運用到基於主機(端點)的和基於網絡的平臺上去,從而實時觀測和干預網絡活動。【解讀】結合筆者自身的經驗,筆者認爲對於防禦而言,定邊界的確是一項很重要的前置性工作,不論這個邊界是物理還是虛擬的,是基於實體的還是基於身份的,是單層的,還是多層的,邊界可以虛擬化,但不能模糊化。此外,可防禦的邊界還意味着儘量可控的攻|擊面,文中提及的是最基本(但不簡單)的對於大型企業而言的互聯網出口的歸口。而這也是爲什麼美國聯邦政府在實施愛因斯坦2之前先花了大量力氣去做TIC(可信互聯網接入)的工作的原因。對於DODIN也是類似,通過JIE的單一安全架構設計,在互聯網邊界大幅減少互聯網出口的數量和類型,並對所有戰區連入網絡的邊界進行的一體化網絡安全設計(部署JRSS)。
2)確保整個網絡的可見性(Ensure visibility across the network)對網絡流量的可見性和持續監測必須貫穿網絡的所有層級,包括網關、中間節點和端點。如果在網絡中觸發了規則告警,分析師必須能夠精確定位並隔離產生告警活動的實際端點主機。這個過程必須在幾分鐘而不是幾個小時內產生效果。
此外,隨着越來越多的流量被加密傳輸,SOC必須對此構建一套解決方案,以確保能夠看見混入合法網絡行爲中的複雜威脅。【解讀】我們說態勢感知,其實很基本的一個能力就是看見(Visibility)。這個幾年前國內就炒作過一輪了,現在反倒講的少了,但實際上,網絡安全對於看見的追求並未衰減。進一步地,什麼是看見?從對象來說,不僅要看到流量和日誌,更重要的是看到各種實體,尤其是網絡實體和端點實體,並要能夠將這些觀測數據整合起來。從內容來說,就是看到網絡中的各種實體的運行狀態,實體之間行爲交互,區分出正常和異常的實體狀態及其行爲,能夠識別出攻|擊入|侵和違規,並刻畫出它們發展變化的過程(例如攻|擊鏈)。從目標來說,看見不是目標,發現問題不是目標,看見只是手段,如何快速的響應和處置纔是目標。在這個層面上,其實也擴展了“看見”的外延,即看見不僅是幫助運維人員發現問題,還包括協助響應者快速的處置問題。
3)強化最佳實踐(Harden to best practices)安全事件通常是由於網絡中更新不及時或者不合規的軟硬件的脆弱性導致的。此外,當一個漏洞利用被披露或者一個補丁發佈後,NCTOC會在24小時之內掃描整個DODIN(DOD信息網絡),識別惡意行爲體潛在的攻|擊目標(未打補丁的服務器)。
可以說,及時進行(補丁)更新依然是NCTOC大力提倡的最佳防禦實踐之一,以此可以降低脆弱性的暴露面,並最大化軟件的可靠性和保護能力。【解讀】這裏所指的最佳實踐核心就是針對脆弱性管理、漏洞管理、補丁管理的實踐。這個問題其實是知易行難。NSA說的沒錯,但更需要指導的是如何做到。其實,我們看愛因斯坦計劃,前兩年,它們在講述建設成果的時候,主要的一個成果就是對於漏洞和漏洞利用的情報預警、共享,快速資產掃描和缺陷資產定位,以及打補丁的時間督查。想一想,花了幾十億美元的系統,實現了這個,值得還是不值得?做好漏洞管理難還是不難?
4)使用全面的威脅情報和機器學習(Use comprehensive threat intelligence and machine learning)在利用威脅情報前,建議先針對自身網絡環境對威脅情報源進行定製。譬如DODIN中的網絡威脅活動與醫療單位的可能有很大不同。SOC應該瞭解現有的防禦性架構,判斷哪些資產對敵方是有價值的,並對威脅情報訂閱源進行相應地裁剪。
此外,面對海量的威脅情報和網絡活動告警信息的時候,SOC應該運用數據科學和機器學習的方法,將這些海量信息提煉爲可行動的結果(Actionable Results)。安全團隊應該既能夠對現存的告警進行響應,還能夠對網絡中過去未能檢測到的威脅活動實施主動獵捕。【解讀】這點比較好理解,國內都談及的很多了。對於情報不必再求全,而要求準求精,注重有效性;對於AI/ML,已經作爲一種技術方法融入到了各種安全設備和系統之中。
5)營造求知的文化(Create a culture of curiosity)單純基於安全事件工單關閉的速度來衡量網絡安全可能存在誤導,使得響應者更關注於盡快處置告警,而不是去儘量完整地掌握攻|擊活動本身。在採取了一個新對策後,如何預測敵對方可能的反應,對於我方響應者而言是一個挑戰。因爲持久化的敵對方會繼續探測進入其感興趣的網絡的入口,並不會因爲一次攻|擊受阻就放棄。因此,SOC應始終努力採取先發制人的防禦性行動,在他們的團隊中注入創新性思維,找出敵對方各種新的技戰術。
【解讀】所謂求知,也可以理解爲好奇心。安全分析師只有保持好奇心,具有強烈的求知慾,才能做好安全工作,才能獲得個人能力的進階。這種好奇心/求知慾,可以通過威脅捕獵(Threat Hunting)得到集中的體現。而求知慾也意味着個人精力的巨大長時間的投入,是很累的一個事情,要保持下去很難,若再考慮到回報的話,則更是難上加難。進一步,如何激發並保持一個團隊而非某個個人的求知慾,又是一個大課題。最後,歸根到底,這裏談及了安全對抗的一個核心本質——人。
作爲一個SOC領域的從業人士,以上5點原則,與大家共勉。