網絡安全事件管理

一、背景

信息化技術的迅速發展已經極大地改變了人們的生活，網絡安全威脅也日益多元化和複雜化。傳統的網絡安全防護手段難以應對當前繁雜的網絡安全問題，構建主動防禦的安全整體解決方案將更有利於防範未知的網絡安全威脅。

國內外的安全事件在不斷增長，安全信息管理市場也在不斷髮展。2018年12月，Gartner正式對外發布了2018年SIEM市場魔力象限分析報告。報告顯示，SIEM目前屬於成熟市場，並且競爭十分激烈。全球SIEM市場價值從2016年的20億美元上升到了2017年的21.8億美元（注：這些數字相較於2018年的預測有所下降，以最新的爲準）。

SIEM市場的首要驅動力是威脅管理，其次是安全監控與合規管理。發展相對欠成熟的亞太和拉美地區的SIEM增長率遠遠高於北美和歐洲市場。由此可見，網絡安全事件所帶來的風險日趨嚴重，同時CISO對此的重視程度也在不斷加強。

 

二、網絡安全事件分類

在數字經濟轉型時代，信息作爲當今時代的“礦產”和“石油”，對國家、社會和企業的快速發展具有重要的推動作用，在信息爲人們生活創造了巨大便利的同時，網絡安全在基礎設施中造成的影響也日益嚴重。

隨着信息化的不斷推進，政府和企業對網絡安全的防範意識在日益增強。在應對攻擊時，市場上傳統的網絡安全產品相互獨立，難以形成高效的閉環，整體的網絡安全防護體系難以抵抗攻擊者的多手段攻擊。在海量的安全事件中，如何根據一定的流程進行響應，對各種安全事件進行挖掘和關聯，發現真正的安全事故，是安全事件管理需要解決的問題。

網絡安全事件是指多個事件及事件間的關係，安全事件之間的關聯與網絡管理中的關聯相似，關聯的目的在於綜合單點的安全設備所發來的事件，以減少誤報和漏報，幫助快速確認事故根源。網絡安全事件由單個或一系列意外或有害的安全事態組成，可能危害業務運行和威脅網絡安全。

對於網絡安全事件的管理，國內外的研究一直在持續進行，制約安全事件管理產品發展的主要因素是事件關聯關鍵技術的突破和安全事件格式的標準統一。網絡安全事件管理應該是實時和動態的管理模型，人工智能在安全管理體系中應該有所體現。
使用結構嚴謹、規劃周全的方式制定企業整體網絡安全戰略對網絡安全事件管理非常重要。

安全事件管理的目標有以下幾個：

• （1）對安全事件的整合和關聯。以統一的格式對安全事件進行關聯，系統可以發現與某種特定攻擊相關的關鍵事件，或者瞭解其所產生的實際影響。
• （2）安全風險的動態呈現。以動態的方式對網絡安全事件的風險進行量化，並進行實時呈現。
• （3）安全事件的及時響應。當出現安全事件時，需要按照一定的工作流程對安全事件進行跟進和實時響應。

網絡安全事件可以分爲以下幾類。

• （1）有害程序事件：是指插入信息系統的一段程序，會對信息系統的完整性、保密性和可用性產生危害，甚至影響營銷系統的正常運轉。計算機病毒、蠕蟲事件、混合攻擊程序事件等都是有害程序，這類事件具有故意編寫、傳播有害程序的特點。
• （2）網絡攻擊事件：是指通過網絡技術、利用系統漏洞和協議對信息系統實施攻擊，對信息系統造成危害或造成系統異常的安全事件，如DDoS攻擊、後門攻擊、漏洞攻擊等。
• （3）信息破壞事件：是指通過網絡等其他手段，對系統中的信息進行篡改或竊取、泄露等的安全事件，主要包括信息篡改、信息泄露等。
• （4）信息內容安全事件：是指利用網絡信息發佈、傳播危害國家安全、社會安全和公共利益安全的事件。
• （5）設備實施故障：是指因信息系統本身的故障或人爲破壞信息系統設備而導致的網絡安全事件。
• （6）災害性事件：是指外界環境對系統造成物理破壞而導致的網絡安全事件。

不屬於以上劃分範圍的網絡安全事件則屬於其他網絡安全事件。

 

三、網絡安全事件管理框架

參照《信息技術　安全技術　信息安全事件管理指南》，網絡安全事件管理包括

• 前期規劃和準備
• 使用
• 評審
• 改進

四個過程。

在網絡安全事件管理的前期規劃和準備階段，組織需要完成的工作內容有以下幾點：

• （1）結合公司現狀制定符合組織情況的網絡安全事件管理文件，獲得公司高層及項目相關的人員的支持與承諾。
• （2）在深入瞭解公司的信息化狀態後，針對公司現狀制定網絡安全事件管理方案，以支撐網絡安全事件的管理策略。確保在組織的信息化工作中有詳細的包含發現、報告、評估和響應網絡安全事件的表單及各項支持工具，以及用作網絡安全事件嚴重程度衡量尺度的細節。
• （3）對公司的每個信息系統、服務和網絡相關的網絡安全與風險管理制定或更新策略，策略的調整需要根據網絡安全事件管理的方案來進行實時調整。
• （4）形成網絡安全事件管理的組織結構，成立網絡安全事件的應急響應小組，確定小組成員的管理角色和對應的崗位職責。
• （5）定期將網絡安全事件管理方案帶來的成效以內部郵件或其他方式向組織成員進行通告，定期對網絡安全事件管理小組的成員進行培訓。
• （6）對整個網絡安全事件管理方案進行測試，確保流程可以形成完整的閉環。

在網絡安全事件的管理過程中，需要執行以下任務：

• （1）針對網絡安全事件的狀態，通過安全產品或人工進行發現和報告。
• （2）對蒐集到的安全事件進行分類，確認安全事件的類別。
• （3）針對發生的網絡安全事件進行及時響應，快速瞭解網絡安全事件的狀態，當安全事件可控時需要採取及時的響應行動；在安全事件不可控時，需要及時申請資源上的協助。在整個過程中，需要將網絡安全事件的狀態及時通告小組成員，必要時進行法律取證分析，記錄整個過程中的相關行動和決策，對安全事件進行閉環處理。

當網絡安全事件完整結束時，需要對整個事件進行復盤評審，評審內容包含以下幾點：

• （1）按照要求進一步完成法律取證分析。
• （2）對整個網絡安全事件進行總結分析。
• （3）根據總結的經驗教訓，進一步改進安全防護措施。
• （4）從網絡安全事件管理整體方案的角度，根據經驗進一步進行完善。

信息環境的變化非常迅速，網絡安全管理中的重要因素也需要不斷地根據網絡安全事件的數據、事件響應和一段時間內的發展趨勢進行改進，主要包含以下內容：

• （1）對組織現有的網絡安全風險分析和管理評審結果進行調整修訂。
• （2）對組織網絡安全事件管理的方案和文檔進行修改完善。
• （3）對網絡安全防護措施的實施進行改進。

0x1：動態安全管理模型

網絡安全是一個動態的過程，對應的管理也應該是相對動態的。

針對網絡安全的動態變化，國內外提出的網絡安全管理模型有很多，如以時間爲基礎的PDR和PPDR模型、PDCA模型等。

動態風險模型是基於閉環控制的動態網絡安全管理模型，在此基礎上形成了如下圖所示的PPDR動態模型，這個模型對安全體系的研究有指導性的參考價值，PPDR把時間概念引入進來，對於如何實現系統安全、評價安全的狀態，提供了相關的操作描述。在整體的網絡安全策略的統一控制下，以網絡安全防護手段和防護工具爲基礎，評估系統的安全狀態，把系統調整到最安全狀態範圍內。

0x2：網絡安全事件管理流程架構

基於PPDR模型可構建動態的網絡安全事件管理流程架構，包括被檢測的安全設備、安全事件收集和整合、安全事件的關聯分析、動態的安全風險評估、安全事件應急響應等，如下圖所示。

入侵檢測系統、防火牆、防病毒軟件等產生的安全事件被安全事件蒐集代理蒐集，並轉發給安全事件關聯引擎。

事件蒐集代理把原始的事件解析成統一的、能夠被關聯引擎識別的格式，在轉發事件之前，代理先執行過濾規則對蒐集到的安全事件進行過濾，只有關聯引擎關注的事件纔會被送往關聯引擎進行關聯。

安全事件的關聯分析需要對蒐集的統一化的事件進行綜合分析，這個過程依賴於網絡流量信息、安全漏洞和網絡攻擊發生的特徵等，通過動態風險評估產生告警，應急響應流程需要根據企業制定的安全策略流程去執行。

0x3：安全事件的蒐集

安全事件的蒐集可採取輪詢的主動蒐集方式和被動接收方式進行。實時採集安全設備的日誌信息來獲取安全事件是主動蒐集方式，以簡單網絡管理協議（Simple Network ManagementProtocol，SNMP）和Syslog協議來蒐集安全事件是被動接收方式。

SNMP協議是國際互聯網工程任務組（Internet Engineering Task Force，IETF）定義的一套網絡管理協議。通過SNMP協議，管理工作站可以遠程管理所有支持該協議的網絡設備，包括監視網絡狀態、進行網絡設備配置、接收網絡事件告警燈。基於SNMP協議蒐集數據信息主要有采用主動輪詢的方法主動蒐集和採用Trap的方式被動蒐集兩種方式。

Syslog協議允許一臺主機通過IP網絡發送事件給事件的接收者（Syslog服務器），Syslog協議發送者和信息接收者間的通信消息內容沒有統一的格式，且Syslog的部署方式比較簡單。Syslog的消息格式分爲PRI、HEADER、MSG三種

0x4：安全事件的統一化

因爲安全設備對安全事件描述的格式各不相同，安全設備蒐集到的事件經過解析後需要採用統一的格式。國內對於安全事件格式的統一化目前還沒有統一的標準，針對入侵檢測告警的交互，IETF採用IDMEF格式，這種格式目前還沒有被廣泛地採用。

 

四、網絡安全事件關聯引擎的設計與實現

網絡安全事件的關聯分析和網絡故障管理的管理分析相似，兩種事件中的關聯目的都是進行實踐的自動處理和事故的快速定位。網絡管理中的關聯方法對於安全事件的關聯具有參考價值。

網絡故障管理方法有：

• 基於規則的關聯方法
• 基於案例的關聯方法
• 基於模型的關聯方法
• 基於編目的關聯方法

入侵檢測的告警關聯方法有：

• 基於攻擊序列的事件關聯方法
• 基於攻擊前提與後果的時間管理方法
• 基於近似度的關聯方法
• 基於統計分析的關聯方法

有明確事件發生的前提條件和事後發生的條件是網絡故障關聯中的必要條件。因爲入侵檢測關聯方法未對攻擊行爲和被攻擊的資產進行關聯，在驗證攻擊存在的可靠性及安全事件對資產的破壞程度時沒有綜合考慮其他因素，所以在安全事件的關聯方法中需要考慮受攻擊的主機資產和事件可能產生的破壞。

0x1：基於事件序列的攻擊場景的關聯

攻擊場景是指相互依賴的、具有時間順序的、當出現攻擊行爲時產生的安全事件集。

通過規則構建攻擊場景，通過關聯引擎對攻擊場景中規則的匹配來判斷真正的攻擊事件。

網絡管理中的關聯操作包括壓縮、過濾、抑制、計數、擴大、概括、具體化。

結合網絡管理中的關聯與基於攻擊場景的關聯，安全事件蒐集代理把蒐集到的安全事件進行統一化併發送給關聯引擎。關聯引擎根據預定的時間窗對安全事件進行基於攻擊場景的關聯，對關聯後的安全事件進行動態的風險評估。關聯引擎提供基於規則的推理機，用於匹配攻擊場景。關聯引擎的規則是嵌套的，即推理機的狀態隨着條件的變化而變化。隨着規則匹配層數的增加，安全事件的可信度增加。構建攻擊場景的規則層次可以達到多層。

• 第一層一般爲攻擊特徵，如木馬類攻擊，這種類型的規則針對入侵檢測設備發送來的事件進行制定。特定的攻擊活動是指不通過特徵檢測，而是通過異常檢測發現的攻擊行爲。
• 第二層是特定攻擊類型的規則，這一層規則是在第一層規則被匹配後才執行的，用於進一步驗證第一層的安全事件的真實性。通常這一層的安全攻擊發生的可信度比第一層的可信度更高。
• 第三層規則的制定，用於驗證該攻擊事件對被攻擊主機的風險是否已經達到了預先定義的風險閾值。

0x2：安全事件與脆弱性關聯

將安全事件和導致安全事件的脆弱性進行映射就是安全事件與脆弱性關聯。

當安全事件所依賴的脆弱性在受攻擊的主機系統中不存在時，這種情況就稱爲誤報；當安全事件所依賴的脆弱性在系統中真實存在時，則表明安全事件的可信度上升。

安全事件與脆弱性關聯需要以兩張數據表進行呈現，

• 一張表存儲由漏洞掃描工具定期掃描的網絡中主機存在的漏洞
• 一張表存儲特定安全設備蒐集的安全事件和漏洞設備的漏洞號之間的關係

關聯引擎收到安全事件時，可以對安全事件的目的地址進行判斷，確認是否存在於兩個錶鏈接後的結果集中，以實現對脆弱性和安全事件進行交叉關聯的目的

0x3：動態風險評估

爲實現安全事件管理動態風險評估的目標，需要對關聯後的事件進行風險評估，根據風險值確認安全事件是否爲安全事故。

安全事件的嚴重程度一般和與安全事件相關的資產值、安全事件能造成的威脅、安全事件發生的概率相關。

• 靜態的風險是傳統風險中所關注的內容
• 組織的風險和該組織所具有的資產與外界對資產的威脅有關
• 網絡安全事件的風險需要考慮安全事件的破壞程度、安全組件的可信度和安全事件所涉及的主機資產

所以需要評估的是動態風險。

 

五、網絡安全事件管理的收益

組織建立嚴謹細緻的網絡安全管理方案可以給企業的網絡安全事件管理帶來以下收益。

• 1）提高組織的網絡安全保障水平。建立嚴謹細緻的網絡安全管理方案，使組織對安全事件具有結構化的發現、報告、評估和響應流程，當出現安全事件時，組織能迅速確認網絡安全事件的狀態和過程，通過對安全事件的分析可以快速實施安全解決方案，同時對未來可能發生的類似網絡安全事件進行預防，以提高整個組織的網絡安全保障水平。
• 2）降低安全事件對組織業務的影響。完整的網絡安全事件管理方案可以幫助企業降低網絡安全事件對組織業務潛在的負面影響級別，包括企業當前的經濟損失及長期的聲譽損失等。
• 3）加強網絡安全事件預防。網絡安全事件管理方案可以幫助組織創造預防網絡安全事件的環境。對事件相關數據進行分析，有助於掌握事件的模式和發展趨勢，從而更加精準地對網絡安全事件進行預防，在網絡安全事件發生時，以對應的安全解決方案進行及時響應。
• 4）爲調查優先級的確定提供依據。當出現網絡安全事件時，完整的網絡安全事件管理方案可以爲網絡安全事件調查優先級的確定提供判斷依據。組織如果沒有明確的調查流程，調查工作只能根據當時的場景進行，難以解決真正的需求，會阻礙調查工作的順利開展。組織如果指定了清晰的調查流程，可以幫助企業確保數據的蒐集和處理符合法律要求。網絡安全事件恢復過程中所採取的行動會影響蒐集到的數據的完整性。
• 5）有利於預算和資源的管理。完整的網絡安全事件管理方案可以幫助組織確認和簡化所需要涉及的預算和資源配置。完整的網絡安全事件管理包含對時間的管理，這樣也方便提供處理不同級別、不同平臺上的事件所需要的時間，當處理過程中的時間不足時，可以進行識別。
• 6）有利於識別各類威脅。完整的網絡安全事件管理方案可以幫助組織識別、確認各類威脅的類別及相關脆弱性的特徵，以便蒐集質量更好的數據，同時可以提供已經識別的威脅類型發生的頻率數據。網絡安全事件對組織業務的影響數據分析、對業務的發展有關鍵性作用，各種威脅類型發生的頻率數據對於威脅評估質量非常有用，脆弱性相關的數據可以幫助提升脆弱性評估質量。
• 7）提高網絡安全意識。完整的網絡安全事件管理方案可以爲企業網絡安全意識教育計劃提供重要的信息。安全事件小組可以以真實的網絡安全事件說明網絡安全事件管理的重要性，同時能說明安全解決方案對快速解決問題的重要性。
• 8）爲網絡安全策略評審提供信息。網絡安全事件管理方案提供的數據可以爲網絡安全策略的有效性評審提供有價值的信息，可以幫助組織內部或其他單個系統、服務或網絡策略進行改進。

 

六、網絡安全事件管理的關鍵事項

適用於組織內通用框架的網絡安全事件管理方案才能爲公司得出全面有效的安全事件處理結果。網絡安全事件管理方案的管理和審覈過程需要組織內員工積極參與，以確保安全和結果的可用性等。

組織應該避免在實施網絡安全事件管理方案的過程中可能會遇到的問題，讓利益相關人員相信組織已經採取了措施來預防事件的發生。爲了使網絡安全事件管理方案更爲完善，需要在整體方案中明確以下事項。

• 1）管理層的支持和承諾。管理層支持網絡安全事件的整體解決方案。組織成員需要清楚當出現網絡安全事件時應該採取的措施，瞭解執行後給組織帶來的好處。當組織管理層確保承諾支持後，公司員工纔會加深對此的認知。同時，管理層也能在事件響應能力的資源和維護上進行支持。
• 2）安全意識的加強。將安全意識傳遞給組織管理層會更有利於管理者接受安全事件管理方案，如果企業員工不清楚安全事件管理方案可以爲其管理帶來的收益，企業員工的參與不一定會達到預期的效果。所以在網絡安全事件管理方案中，需要將組織成員在網絡安全事件管理中取得的收益明確出來，並說明網絡安全事態和事件數據庫中的事件信息及其輸出，從而提高組織成員的安全意識。
• 3）法律法規的重視。在網絡安全事件管理方案中需要對與法律法規相關的問題進行闡述。例如，需要提供適當的數據保護個人信息和隱私，管理過程中保留適當的活動記錄，採取防護措施以確保合同的責任履行等其他多個方面的問題。
• 4）確保運行效率和質量。通知事件的責任、通知的質量、易於使用的程度、速度和培訓是影響網絡安全事件管理運行效率和質量的因素，其中有些因素與確保用戶瞭解安全事件管理的價值和積極報告事件相關。安全事件管理人員需要增加適當的意識和培訓計劃，以便將事件延遲報告的時間降至最低。
• 5）匿名性和保密性。安全事件管理中需要明確組織成員提供的信息可以受到保護，確保在特定條件下報告潛在網絡安全事件的人員或相關方的匿名性。同時，安全事件管理方案中會包含敏感信息，但是處理事件的成員可能會使用到這些信息，所以在處理過程中需要確保這些信息是被加密過的，或者訪問這些信息的人員需要簽訂保密協議。同時要規定敏感事件需要控制向外傳播。
• 6）可信運行。在特定情況下，面對財務、法律、策略等方面的需求，安全事件管理組應該有效地滿足其要求，併發揮組織的決斷能力。爲使所有的業務得到滿足，網絡安全事件管理組的功能還應獨立審計。同時，事件響應報告和常規的運行管理應該分離，財務運作方面也需要分離。
• 7）系統化分類。網絡安全事件管理方案總體結構的通用化連同通用的度量機制和標準的數據庫結構一起，可以提供比較結果、改進告警信息和生成信息系統威脅及脆弱性數據的更加準確的視圖能力。網絡安全事件的管理需要和IT技術安全相互補充，也需要和IT技術安全相互支撐，完善的管理制度、完善的運營制度、預防性和檢查性的管理都必不可少。國家持續加大對網絡安全事件的監管力度，以提升國家在網絡空間中的實力，同時進一步完善相關的法律法規，以增強公民的個人網絡安全意識