黄乐然_央视网黄乐:媒体行业风险管理体系设计与实现
风险管理是一个相对较大的概念。对于央视来说,我们在安全建设之初没有设计风险管理的目标,而是在大量的基础工作和频繁的对抗过程中逐渐积累形成了系统的雏形,然后通过不断完善雏形形成了一个相对完整的风险管理体系。本文将从风险的三个基本要素(资产、脆弱性和威胁)出发,分别实施管理理念,最后将这三个要素整合在一起。
1,资产资产管理对于企业安全管理非常重要。对于央视网络安全团队来说,资产信息主要是知识产权、服务、网址和负责人(部门)至于本文范围之外的其他要素,央视网络安全团队也主要致力于这些要素的检测和管理
1.1知识产权服务为了安全检查的完整性,安全部门的资产发现至少应确认知识产权、端口和服务,业务线和负责人的信息可移交给资产管理相关部门进行改进。具体方法如下:
技术选型:经过多方面考虑,我们仍然选择功能非常成熟的Masscan和nmap,通过gowoker调度多个Masscan进程完成端口检测,然后通过gowoker将检测结果发送给多个nmap进程完成服务检测
1.2域名对于域名清单,采用爬虫是非常合理的。通过横向比较,我们采用“幽灵蜘蛛”(https://github.com/henrylee2cn/pholcus)作为爬虫工具,并在此基础上,对央视网动态网址的抓取方法进行了改革。目前,效率如下:服务器限制主域在2小时内爬15层并完成140万个链接然而,这些网址不能直接发送到扫描仪,因为在140万个网址中有大量的网址具有相同的帧但内容不同。为了进一步减轻扫描仪的压力,我们压缩了这些网址。一般的方法是将url的目录结构转换成树形结构图,然后通过不同的节点判断页面框架的一致性。目前,我们已经使用这种方法将1.7亿个网址压缩到100万个以下,还有进一步优化的空间。
域名解析记录,一方面可以通过域名解析记录进一步补充域名数据库,另一方面可以评估域名被访问的频率,在扫描积压的任务时,优先扫描流量大的域名(当然,在系统的承载能力范围内)
1.3流量分析主动扫描方法检测资产(无论是IP还是域名),都会出现漏报问题,虽然原因不同,但结果都是漏报我们进一步采用流程分析的方法进一步收集资产。由于闭路电视网络有商业流量探测器,我们只需将流量探测器数据接入公司的统一数据平台(ELK),并定期提取ELK中的数据字段。
1.4离线资产前三种方法侧重于发现新的在线资产然而,离线或闲置资产的管理也非常重要。根据作者的经验,大多数入侵的第一步都是从一些没人注意的旧资产开始的。离线判断资产的方法如下:①主动扫描可以将资产定义为离线,如果在几个扫描周期内都没有找到(我们定义的值是3),但是无法到达的情况对安全团队来说不是大问题。(2)流量分析方法可以定义资产(IP或url)未被访问并被定义为离线的时间段(我们定义的值是7天)
2,漏洞在漏洞管理方面,我们主要从漏洞、基线和合规性进行管理。由于篇幅所限,我将从漏洞管理的角度介绍漏洞管理的总体思路。
2.1扫描工具2.1.1商用扫描仪
商用扫描仪在所有方面都优于免费和开源产品,无论价格因素如何(不贵)在早期,商业扫描仪都是“硬件盒子”其特点是:
①单一硬件扫描效率有限;
②特征扫描中的假报告;
③没有资产管理模块,所以整理报表需要时间。
④输出报告不够友好
,因此这种类型的扫描仪适用于小型资产(少于5000台服务器)的环境
近年来,许多制造商逐渐意识到传统扫描仪的局限性,并推出了基于云服务的漏洞扫描产品目前,笔者了解到云服务产品的主要特点是:减少低版本漏洞数据,通过POC降低误报率,通过云实现并行扩展,将人工服务集成到产品中,并增加一些漏洞管理功能然而,问题是云服务无法扫描内部网并保护漏洞信息。这是一个双方都需要相互信任的过程。
2.1.2自主开发的
如上所述,免费、开源或商用产品存在不同的问题。我们需要的是一个全面、低误报率、高效、可扩展、与资产相关、可定制且支持管理的漏洞扫描系统(需要更多)据估计,没有一种产品能完全满足这种“异常”要求。那么独立研发就只剩下一条路了自主研发的内容相对较大,作者将在单独的章节中介绍。首先,让我们简要介绍一下设计原则:
①功能不能尽可能完整,从应急功能开始,扩展到不重要的功能;
②用开源扫描仪重建最方便,可以从开源开始,逐步重建,最后完全重建。
③尽量减少独立创作的环节。如上所述,企业中的安全部门不习惯炫耀技能,而解决问题的最有效方法是关键。
因此,应该优先考虑集成现有的功能,采取小步骤快速迭代(而不是设计)来生产适合自己的产品。
2.2漏洞管理泄漏扫描报告整理是一项非常耗时且技术含量低的工作泄漏扫描和渗透工程师的大量宝贵和昂贵的工作时间都消耗在这方面的工作上。我的团队开发的漏洞管理主要致力于解决日常工作中的一些棘手问题。该系统主要分为五个维度:资产、数据集成、流程、分析和展示
资产库导入:通过资产库导入,系统可以通过IP或网址信息自动整合漏洞信息,并分发给相关责任人,大大减少了查询和沟通的时间
数据集成:主要是将分散的数据组织成可读性更强的形式,比如某个软件有几十个低版本的漏洞,在数据集成的过程中可以压缩成一个,细节隐藏在细节中然后通过定制的算法对漏洞进行优先级排序,从而引导运输和开发人员有序地修复漏洞。
流程:该流程是一个类似于工单系统的模块。一方面,可以规范漏洞发布点,避免信息泄露;另一方面,可以保留过程的相关数据,为以后的数据分析和综合显示提供数据;
分析:利用漏洞数据和流程数据,我们可以根据自己的需要进行各种分析,从一般的漏洞类型分布和漏洞数量曲线到深入的“部门未修复漏洞数量排名”和“系统漏洞得分”等。这为安全部门提供了一个良好的起点,并促使业务部门纠正漏洞。
显示:通过大屏幕显示将上述分析放在显眼的地方是非常必要的。一方面,它反映了安全团队的工作量;另一方面,它可以提高相关部门和领导对漏洞管理的重视程度。
关于资产和漏洞管理的总体框架,由于篇幅问题,它只描述了思路。更多细节,读者可以参考我之前写的一篇文章,“漏洞管理平台的设计和实现”
2.3从漏洞管理到漏洞管理漏洞管理是漏洞的一部分(当然,它是非常重要的一部分)。我们正在进一步增加漏洞管理系统技术的基线和合规信息,并将漏洞管理系统升级为漏洞管理系统。这两方面的工作类似于漏洞管理的思想,所以这里只提出了一些必要的关注点:
基线检测:由于标准基线检测的描述比较模糊,需要根据企业的实际情况定制大量的检测脚本,所以建议一般的检测策略只做重要的检测项目,以便于基线检测脚本的登陆。此外,对于最新技术和自主开发技术的基线,一般策略中没有参考,在等级保护和行业相关标准中可以找到匹配项。在第六期“耿青企业安全沙龙”上,作者和他的小伙伴们详细讨论了基线检查工作,并形成了总结。(点击此处了解详情)
合规管理:本模块主要针对机器检测方法无法回答的检测项目,如:一个系统是否部署在多个机房?系统密码复杂性和修改周期要求等。这些需要通过问卷发送给业务部门。建议在问卷系统设计时给出默认选项,方便相关责任人填写问卷。根据作者的经验,系统的复杂性与系统推广的难度成正比,因此强烈建议在设计系统时充分考虑易用性。
3,威胁管理央视网络威胁管理系统的总体思路类似于业界流行的“情境意识”或“威胁意识”的概念。在数据的基础上,我们通过大量的分析策略输出报警和相关数据。最后,一些联动系统负责插接,显示系统完成综合显示。
战略,我们专注于“过程中检测”由于前期成本太高,像央视这样的中小型团队无法支持相关的算法开发工作。然而,事件发生后为时已晚,无论善后工作做得多好,都很难挽回安全事故造成的损失。因此,我们尽最大努力避免将数据分析工作放在事后。威胁管理系统的总体结构图如下:
让我们简单扩展一下每一层的构建思路。
3.1数据在数据收集方面,有许多开源工具可以满足大多数企业的需求,这里不再重复。在数据选择方面,作者经常看到两种方式:①通过数据发现需求;②通过需求查找数据作者认为方法②可以有效地减少系统设计过程中的盲点因此,虽然我们把数据放在第一位,但我们的实际工作通常是先清楚地分析场景,然后寻找相关数据。如果无法获得数据,我们将在稍后调整分析场景。
3.2策略集这是整个系统最重要的部分这里提到的策略是数据的分析逻辑,策略集是大量逻辑的组合。对于策略集的构建,作者团队采用了与安全厂商联合开发的方法,原因有二:
①商业产品不能解决所有问题。使用商业产品进行安全测试是许多企业的选择,任何产品都有其缺点。然而,这不是最重要的事情。笔者认为,企业的安全需求有很大的不同,攻防手段也在不断变化。出于通用性的考虑,商业产品不太可能有全面的分析策略。另一方面,对于新的攻击方法,许多商业产品不支持深度定制,或者深度定制的成本非常高。
②我们的团队规模和能力无法支持全方位的自主研发据认为,大多数国内企业没有能力全面开发产品(行业内的龙头企业不在讨论范围内,它们不仅可以进行自我研究,还可以出口)。从另一个角度来看,企业需要的不是完全自主和可控的安全产品,而是解决实际问题。
我们在制定总体战略时采用了“快速通过考试,逐步提高”的建设思路。
的所谓“快速通过”是通过购买商业产品或与商业公司联合开发来快速建立标准的威胁检测系统。如果我们采用商业产品,我们需要对产品的开放性和集成能力有一个全面的了解,否则在后期基于这个系统的集成将变得非常困难。有了这个系统,只达到了及格分数,要达到最终目标,需要“逐步提高”才能实现。
顾名思义,逐步改善是一个长期的过程。从笔者的经验来看,这一过程是企业安全从考试合格走向优秀的重要过程。我们通过两种方式实现了“渐进改善”:
不浪费任何应急:作者在以前的文章中曾提出过“系统应急”的想法(具体内容请点击此处)。总体思路是通过应急事件发现问题,确保相应的安全施工后安全事件零重复发生。我们最早的应用是在完善威胁意识策略集的工作中。在基本检测策略就绪的情况下,入侵悄悄发生意味着什么?当然,系统的检查能力有缺陷。澄清这个缺陷意味着我们系统的检测能力还有改进的空间。通过改进基本数据和策略集的分析方法,可以防止同一事件再次发生。
安全服务平台:许多企业购买不同类型的安全服务作者团队在早期购买安全数据分析服务时,使用的是人类直接分析数据的方法。我们每天有大约450万个安全数据。现在可以确认,人肉分析的方法绝对无法完成这项工作。从确定“策略集”的构建思想开始,安全分析师的工作已经从分析数据转变为制定分析策略。这些策略已经从一个小的开发团队变成了工具。下图显示了以下数据分析工作,这是一个重要的变化。
分析策略开发流程
分析策略运行和优化流程
在上述两个流程中,只有两个标记为红色的环节——“分析策略的制定”和“关键结果的验证”需要安全服务团队的干预,其他环节完全由企业安全团队控制安全服务更加可控。此外,即使安全服务由于任何原因而被集中,安全分析工作也不会停滞不前,最多不能更新。
最后解释说,由于我们选择了联合开发方法,通过安全服务开发策略集是基于基本的分析能力就绪。
3.3显示这里的显示不会说太多。有了丰富的分析策略,我相信大显示屏的设计不成问题。然而,根据作者的经验,用户界面设计一般根据不同的用户分为2-3个层次。不同群体的设计理念会有些不同。让我们做一个简要的分析。
高级水平:能理解,不炫耀你的技能许多高级领导人都没有安全或技术背景。因此,显示在顶部的内容必须易于被人们理解。不要从技术角度炫耀你的技能。在这个层面上,你真正关心的是什么高级问题?
中级:高效,不假冒对于向平行部门显示或报告的界面,主要是为了使相关人员能够快速、方便地理解必要的内容同时,报告的数据必须客观。弄虚作假和主管的判断是禁忌,不利于部门之间的沟通。
基本:可定制,不复杂基层员工界面考虑了基层员工的各种需求和较强的实践能力。美丽并不重要,最好是方便地定制界面,这样用户就可以很容易地得到他们想要的。
3.4联动联动原则上不是威胁感知系统的标准能力模块,但如果没有“联动”,则“感知”的含义不存在这就像去医院检查,发现医院只能发现疾病,而不能治愈疾病。这太荒谬了因此,必须有基于感知的联系。此外,链接最终必须自动化(对于某些策略)。策略自动化至少有三个好处:
减少了阻塞时间:在自动阻塞之前,我的团队对恶意IP的每日阻塞间隔是24小时。这种阻碍只能说是聊胜于无。24小时足够入侵者做任何事情。自动封堵上线后,极端情况下封堵时间可缩短至5分钟(理论上,时间间隔可无限缩短,但数据量太小,不利于分析的准确性)这可以大大减少入侵者的入侵
防误操作:即使每天手动封存IP是可行的,防火墙和ACL的频繁运行也会大大增加误操作的可能性,影响整个系统的稳定性。自动阻塞可以避免这个问题。
7*24小时工作:我们永远不知道入侵者何时会发起攻击。上午9点到6点的团队无法应对这种情况,即使是996因此,我们需要一个从不休息的“机器人”来帮助我们做一些基础工作。
,当然,不是所有的问题都能自动处理因此,确定规则并通知应急小组在紧急情况下通过各种方式处理安全事故也非常重要。
4,风险管理作者认为,风险管理绝不像分别管理资产、漏洞和威胁那样简单。我们需要充分关联这三个维度的数据,并形成最终的分析结果。对这些相关场景的分析理论上是无止境的。我们需要根据实际情况设计场景并制定相关的分析策略。这是作者团队试图解决的重要问题之一。我将列举一些简单的场景,希望能给读者一些启发。
威胁评分:我们在设计威胁感知系统的早期阶段(2015年)定义了威胁评分机制为了使这个分数更准确,我们将外部攻击数据(入侵检测数据或其他类似数据)与内部资产和漏洞数据相关联。如果攻击IP的攻击类型与资产信息和漏洞信息高度匹配,系统将大大提高其威胁分值。这种方法非常适合处理“单向”数据,如入侵检测系统,目前一些产品可以更准确地定位丢失的主机。这种方法的优点是,它可以分析更多的威胁行为,并在主机实际丢失之前提前处理时间。
替代掉主机判断:这是一个更简单的逻辑,只需要在“攻击者”的IP表中找到自己的IP地址,这个IP就有很高的掉机概率这只是企业的IP地址段之间的匹配。该方法可以有效弥补企业在没有能力检测专业主机丢失情况下产品能力的不足。
0天漏洞处置:0天漏洞爆发后,通过资产信息匹配可以快速判断网络中的影响范围,有助于快速制定应急处置方案此外,如果没有针对漏洞的有效处置方法,业务无法离线通过威胁管理系统,我们可以重点分析影响资产访问的外部IP漏洞,制定紧急阻断措施,快速阻断恶意IP访问
以上三种分析方法非常简单,它们的主要目的只是抛砖引玉。然而,笔者认为这些方法的“先进性”在于它们并不限制一定维度的数据和分析能力,而是在一定程度上以简单、低成本的方式解决了企业面临的安全风险。
本文是作者团队风险管理的技术手段和方法。本文列举的方法不一定是通用的,希望能给读者带来一些启发。
* FreeBus官方报告禁止转载
精彩推荐