前言

在网络安全防护体系中,根据攻防双方的信息不对称的特点,防御方在攻防对抗中处于明显的劣势。在图中可以看到,攻击者从攻击开始到攻陷目标,从攻陷目标到数据窃取的过程,大部分的操作可以在分钟级别的时间内完成。

而对于防御方而言,从系统被攻陷到发现攻击,可能需要数个月的时间;从发现攻击到抑制攻击或恢复系统,可能需要数周的时间。防御方表示压力山大。

那防御方该如何应对这种情况呢?我们可以对攻防双方的整个过程进行分析,如图所示。对于攻击方而言(图上方),攻击的整个过程包括:攻击者监视、对攻击目标进行分析、访问探针、攻击计划、系统入侵、攻击开始、开始隐藏、发现/持久化、跳板攻击完成、完成隐藏、保持据点。

而对于防御方而言(图下方),整个防护过程包括:物理安全、威胁分析、防御方发现、攻击预测、监视和控制、攻击识别、事故报告、遏制和根除、战损识别、影响分析、系统反应、响应、恢复。

其中,从攻击方开始攻击(Attack Begins),到防御方对攻击进行识别(Attack Identified),这个过程是攻击方的自由攻击时间。而要做好网络安全防护,本质上是尽可能缩短攻击者的自由攻击时间,从而减少损失。

以前主要通过网络安全防护设备和安全人员的堆砌来增强整个系统层面的安全防护能力,实际效果有限。现在的防护思路是:(1)整合并利用整个防护体系中当前和未来的安全能力;(2)提高整个防御体系的自动化程度进而优化人力成本;(3)通过增强共享功能来降低攻击者的灵活性。进而,在速度和规模上提高自动化防御的有效性。

代表性的技术是威胁情报,通过组织之间的情报共享来减少组织机构发现和检测到威胁的时间(即只要有一个组织机构发现了新的威胁,并共享威胁信息,其它机构就可以预防该威胁),进而达到事前预警、事中检测和事后溯源的目的。而要提高整个安全防护体系对威胁的响应速度,即发现可疑行为,并快速将防护和响应策略分发到相应的防护设备,这是当前讨论较多的SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应)或OODA循环(Obeseve, Orient, Decide, Act,观察,调整,决策以及行动)的概念。代表性的SOAR平台有Phantom(https://www.phantom.us/),代表性的OODA框架就是本文要介绍的IACD集成的自适应网络防御框架。

一、什么是IACD

IACD,全称:Integrated Adaptive Cyber Defense,集成的自适应网络安全防护框架,是一种可扩展的、自适应的、商业现成技术的网络安全操作方法的战略和框架;由美国国土安全部(DHS)、国家安全局(NSA)和约翰·霍普金斯大学应用物理实验室(JHU/APL)于2014年联合发起。

IACD定义了一个框架(包括参考架构、互操作规范草案、用例和实施案例),以便对网络安全操作采用这种可扩展的自适应方法。通过自动化来提高网络安全防护的速度和规模,从而提高防护人员的效率,将他们移出传统的响应循环,转变为“网络安全防御循环”中的响应规划和角色认同; IACD的目标是通过集成、自动化和信息共享来显著地改变网络安全防御的时间线和有效性。

对于企业而言,未来采纳IACD的方案,需要支持这些原则:(1)充分考虑企业自身的情况(Bring Your Our Enterprise);(2)即插即用(Plug-and-Play);(3)互操作性和自动化(Interoperability & Automation);(4)信息共享(Information Sharing)。

企业通过采纳IACD的方案,快速迭代地执行一系列的参考实现,每个参考实现都探索特定用例,期待达到效果:(1)证明使用商业产品集成的概念(商业系统能不能集成);(2)提供对潜在挑战的见解(尝试新的防御方法);(3)识别技术差距、商业解决方案、政策和标准的可用性(快速试错,对可用性进行检测);(4)收集需求以促进相应标准的发展(如果有必要,或者发现了新的业务问题,可以尝试推动行业相应标准的制订)。

二、IACD体系结构

基于OODA循环,IACD架构已发展成一个框架,由传感器组成,带来共享可信的信息,以触发编排服务,来响应网络事件。IACD体系结构包括以下部分:

1. 传感器/传感源(Sensor/Sensing Sources):传感器接收和发送数据到编排服务; 

2. 执行器/执行点(Actuators/Action Points):执行器实现对网络事件的响应行为; 

3. 传感器/执行器接口(Sensor/Actuator Interface,S/A 接口):S/A接口使得企业内的各式传感器和执行器集合可以相互通信; 

4. 意义构建分析框架(SMAF,Sense-Making Analytic Framework):SMAF用于丰富信息; 

5. 决策引擎(DME,Decision Making Engine):DME将决定采取什么样的响应措施是合适的; 

6. 响应行为控制器(RAC, Response Action Controller):RAC将响应措施传输到一个响应行为队列中; 

7. 编排管理(OM,Orchestration Manager):OM调整信息流和编排服务的访问控制;

8.  编排服务(Orchestration Services):五个组件的集合(S/A接口、SMAF、DME、RAC和OM)。

三、编排服务

要介绍编排服务,先要了解安全编排,IACD中对安全编排的定义是:将复杂的流程转化为系统、工具、从业者和组织之间的简化工作流程。编排服务指的是管理自动化和OODA循环衍生活动的集成:感知、感知构建、决策和行动。

IACD的编排服务功能包括:(1)跨多个不同来源的信息资源进行集合;(2)自动确定风险和采取行动的决定;(3) 同步机器操作,以符合剧本中捕捉到的业务/运营优先级;(4)通过信任社区进行自动化的信息共享。

SA&O(安全自动化&编排)的好处是:(1)运营效率;(2)更快的检测和响应;(3)能够处理更多的告警和数据;(4)捕获组织知识和实践;(5)实践中的一致性;

而将安全自动化&编排作为服务的好处是:(1)降低运营成本-办公室、设备、工具、许可、培训和更低的资本支出;(2)互操作性、维护和可扩展性;(3)轻松协调DevOps、运营、安全、网络和云供应商及合作伙伴;(4)跨整个企业的综合报告;(5)互补的网络安全专业知识和实践。

整体而言,使用编排服务可以:(1)更容易管理和专业知识;(2)更易于共享知识;(3)响应也更快。在编排服务实施时,主要通过跨组织的剧本来开展。这时,在实施编排服务时,主要需要考虑互操作性、可达性和可信性。

那编排服务是如何实施的呢?IACD中介绍编排服务的实施,包括三方面:剧本、工作流、和本地实例。

其中,剧本(Playbooks)指的是一组面向流程的步骤,使组织能够满足其策略和过程中指定的要求。剧本主要是给人看的,用于分析整个响应和处置过程。 

工作流(Workflow),指的是对攻击和响应的流程进行分析设计,最终保证这个是机器可以理解的。通俗的理解就是,出现什么情况,告诉机器怎么自动处置。

本地实例(Local Instances)指的是,根据设计的剧本和工作流,形成方案,并在本地进行试点部署。值得注意的是,本地实例不是只是人读的部署文档,而是在机器和机器之间是可读和可共享的。

四、 IACD剧本

根据上述的介绍,剧本(Playbooks)指的是,一组面向流程的步骤,使组织能够满足其策略和过程中指定的要求。它们是记录组织过程的人类可理解的行为。 

剧本的目的是以某种方式表示以下的过程:(1)大多数组织可以与他们正在执行的流程相关联; (2)可以映射到治理或监管要求(例如,NIST 800-53); (3)展示一段时间内自动化过程的途径;(4)确定流程步骤的行业最佳实践。

剧本的主要特征是它是为人类设计的(即人类可读的)。它代表了最基本的一般安全流程,使得剧本能够以完全手动的方式实施,或者越来越自动化,适合组织。

剧本的目标和特点如下:

1. 剧本是一种社区驱动的协作努力,可以在组织之间轻松共享; 

2. 推广剧本以适应各组织的广泛适用性; 

3. 可以定制剧本并用于创建工作流或识别满足组织需求的现有供应商/社区工作流程; 

4. 可以将剧本链接在一起,以便组织可以专注于更大流程的“块”,直到组织可以选择组合多个剧本; 

5. 无论流程成熟度或自动化程度如何,都可以将剧本应用于组织; 

6. 剧本不是静态的 - 它们可以随着政策或操作和技术要求的变化而发展,但应灵活地跟踪政策或要求,以支持风险和准备情况评估。

所有IACD剧本应包含五种内容类型,这些内容类型是解决关键原则和在组织之间和组织之间有效使用和共享剧本所必需的。包括:

1. 启动条件,记录的安全过程旨在解决的事件或情况;

2. 流程步骤,记录过程中的步骤顺序 - 可以手动或以自动方式执行;

3. 结束状态,表示剧本完成的所需条件或状态;

4. 最佳实践和本地政策,可以定制表示剧本可能的特定路径的变体,选项和候选操作,以反映组织策略和实践; 可以发展为允许组织添加功能;

5. 与治理或监管要求的关系,将剧本捕获的流程映射到适用的治理或监管要求,以实现跟踪,审计和评估。

IACD剧本的构建步骤如下:

1. 确定启动条件;

2. 列出响应此启动条件可能发生的所有可能操作;

3. 迭代步骤2中的操作列表,并根据操作是必需步骤还是可选步骤对操作进行分类;

4. 使用步骤3中所需的步骤构建剧本流程图;

5. 迭代可选操作并确定是否可以按活动或功能对操作进行分组。例如:监控,充实,响应,验证或缓解;

6. 思考:是否有可能只在剧本的某些部分发生的行为?这是对操作进行分组的方式;

7. 修改步骤4中的剧本流程步骤图,以包括将选择可选操作的点;

8. 使用步骤5中的可选操作填写流程步骤下方的操作选项框;

9. 确认剧本以结束状态结束或向适当的剧本提供新的启动条件;

10. 确定本剧本中的行动所满足的监管控制和要求。

在剧本的图示示例中,介绍了该剧本的启动场景,针对该场景的各个阶段的处理流程,以及响应建议、验证建议和缓解建议等。

五、工作流

工作流(Workflow),指的是对攻击和响应的流程进行分析设计,最终保证这个是机器可以理解的。通俗的理解就是,出现什么情况,告诉机器怎么自动处置,而机器最擅长处理是数字计算和判断。

图示为攻击的工作流,描述整个攻击的各个过程:

针对整个攻击过程,设计需要各个阶段采用的防御措施。防御措施的关键选择节点,采用条件选择的方式进行判断,以保证机器可读。

六、螺旋活动

在IACD中,本地实例主要通过螺旋活动(Spirals)的方式进行介绍,简而言之,螺旋活动指的是针对不同应用场景而设计的可共享的部署类型和示例。

代表性的螺旋活动有螺旋0到螺旋9,最新的已经扩展到了螺旋10和螺旋11,各螺旋活动的概念介绍如下:

螺旋0,实现安全自动化和编排;

螺旋1,可扩展性和自动指标共享;

螺旋2,风险和基于任务的COA(Course of Action,应对措施)选择;

螺旋3,异常行为缓解和COA(Course of Action,应对措施)选择;

螺旋4,信息结构互操作性/互换性;

螺旋5,响应行动互操作性,自动猎捕支持;

螺旋6,安全协调、扩展的响应操作互操作性; 

螺旋7,多流程集成, IT/OT集成,工作流完整性;

螺旋8,破坏性恶意软件后的自动恢复;

螺旋9,信息共享中的自身免疫;

以螺旋0为例,来介绍IACD的螺旋活动,螺旋0的目的是实现安全自动化和编排,在实施螺旋0时,需要思考:(1)可以使用现有产品有效实施集成和自动化吗?(2)我们能否将一些运营经验与未来螺旋进行比较?

螺旋0的目标是:(1)提高评估速度,有效利用有限的分析师资源;(2)螺旋0使用APL运营网络来应用集成和自动化,并为比较提供现实基础。

螺旋0的示例架构如图,在该螺旋0的示例中,使用的编排器有:TIBCO Streambase、Invotas、Python Scripting;

集成的工具/能力有:Bit9、FireEye、Splunk、Juniper Firewall、Carbon Black、CISCO Firewall、SNORT;

访问的信息&信誉度来源有:Virustotal、Herd Protect、URL Void、IP Void;

触发事件有:主机中发现未知可疑文件;

自动化的防御行为有:自动丰富--信誉服务、以前事件、文件爆炸;在主机上阻断--使用hash进行阻断;在周边阻断--使用IP或URL阻断连接;

主要成果有:为一线分析师提供有力支持;将缓解措施转换为工作流程,以渐进实现;改变规则/打开光圈:根据人力速度容量设计和调节过滤器。

在对未知可疑文件进行判断场景中,在实施IACD的螺旋0前后,从告警到决策的时间变短了:实施螺旋0之前,最好的情况需要10分钟,最差的情况需要11个小时;实施后,最坏的情况,才需要10分钟,最好的情况,只需要1秒钟就可以,整个时间缩短了97%-99%。

对可疑文件的分类能力,提高了10000倍,并且可以同时处理24-96个事件。

响应处置的时间大幅下降,实施IACD螺旋0之前平均需要45分钟,实施后只需要30-60秒,时间减少了98%。

更多的螺旋活动实例,可以参考网盘的资料内容。

七、采纳准备和试点

值得一提的是,IACD在设计之初,就充分考虑落地实施的可行性和可操作性。企业在计划采用IACD时,在制订以成功实施IACD为中心的方法时,需要考虑:(1)在组织的各个层面可视化支持自动化;(2)愿意定义和修改流程,以提高效率;(3)购买具有互操作性的产品和应用程序。

同时,IACD推出了一个IACD准备框架,用于实际指导IACD的部署实施,主要包括:准备采用SA&O、准备试点SA&O、准备初始部署SA&O、准备改进SA&O和准备长期支持SA&O 五个阶段,如图所示:

另外,企业在进行IACD的采纳准备和试点时,还需要考虑一些问题:

1. 集成支持:在哪里可以找到集成的产品列表、集成线路图、以及每个产品支持的命令?是否有社区为您的产品提供第三方集成?

2. 安全考虑:你如何保护或安全访问凭证,以支持强大的身份验证机制?您多久提供一次与安全相关的产品升级或补丁?

3. 备份和恢复:你的产品备份(即安装/配置信息、工作流程、凭证)是什么?你如何从失败中恢复或被迫停止?

4. 运行状况和性能:如何监控产品是否已启动、正在运行以及执行应该执行的操作?收集哪些信息以支持故障排除错误、监控运营性能以及改进流程性能?

5. 报告:你支持哪些指标和默认报告来证明投资回报率?

目前,IACD已经在美国的FS-ISAC(金融服务信息共享和分析中心)和美国能源部等多个部门进行试点,以FS-ISAC的试点为例,基于IACD框架的自动化丰富了FS ISAC提供的情报; 一旦发布到试点门户网站,威胁情报就会被转换为STIX/TAXII格式; 基于IACD框架,根据金融部门的SOP(自带企业),自动化的在每个金融部门提取和响应情报。如图所示:

实施IACD,最终可以达到效果:

1. 管理的指标、事件、终端保护数量在急剧增加:分流能力增加10000倍;完成100-400倍的指标缓解量。

2. 时间表、使用的分析/操作时间显著减少:全自动流量的运行时间缩短了99%;在选定的流程中,将事件从11小时缩短为10分钟。

3. 日益复杂的工作流程和决策的快速发展:操作状态、任务优先级、风险状态、当地政策/ROC的交错,而不会缩短时间表;行为驱动、基于非签名的触发器的扩展。

4. 商业可用性、增加互操作解决方案的扩展:协调服务增加10-20倍;完成OpenC2初始规范;提供政府和商业来源威胁来源的可用性。

八、未来的生态

由美国国土安全部(DHS)、国家安全局(NSA)和约翰·霍普金斯大学应用物理实验室(JHU/APL)联合发起的IACD十分看重生态构建,目前IACD已集成了众多主流的安全厂商、机构、系统、产品和规范。

可以预见,在IACD的未来生态构建中,会出现:

1. 供应商整合产品服务:供应商不可或缺地整合威胁产品和服务,这些产品和服务需要成为扩展企业的一部分,这些企业正在被整合以加速网络防御的速度和规模。

2. 多模型用于信息共享:威胁情报平台、商业威胁提供商和跨组织协作正在改变威胁信息的共享,访问和使用方式。

3. 信任圈:组织将属于具有不同信任级别的多个组, 有些会与另一个信任圈子建立关系,有些会保持独立。

4. 信息共享和网络空间防御自动化共享相同的生态:信息共享和网络防御自动化共享相同的生态系统;共享信息将直接提供风险决策和相关的自动化流程;自动防御将直接为信息共享活动提供信息。

5. 扰流警报:“分散”决策、数据、控制。IACD将还工具和产品进行分类。

名词解释

SOAR,Security Orchestration, Automation and Response,安全编排、自动化和响应

OODA,OODA循环,Obeseve, Orient, Decide, Act,观察,调整,决策以及行动

IACD,Integrated Adaptive Cyber Defense,集成的自适应网络安全防护框架

SA&O,Security Automation and Orchestration,安全自动化&编排

Playbooks,剧本

Spirals,螺旋活动

参考文献

注:图1和图2为金湘宇金将军分享的PPT中的内容

【1】IACD,https://www.iacdautomate.org/

【2】官网分享的150多个PPT文件介绍材料

最后,小小的吸粉一波,关注公众号并回复“IACD”,获取150多份介绍IACD相关内容的PPT文件。

声明:本文来自小强说,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。