NSA的网络安全威胁运行中心(NSA Cybersecurity Threat Operations Center,简称NCTOC)相当于NSA的一个SOC,在CYBERCOM的配合下,用于对美国DOD的非密信息网络实施安全运营。DOD的这张网络遍布全球,时刻面临着各种威胁,在NSA常年7*24*356的运营之下,总结了不少运营经验。NCTOC团队面向运营人员,总结出了 5大SOC运营原则

1)建立可防御的边界(Establish a defendable perimeter)DOD经过多年的JIE(联合信息环境)建设,连接互联网的出口实现了大幅度的缩减,99%的进出Internet的流量都实现了仅通过很少的几个网关来路由。如此一来,网络边界的可防御性得到了极大地提升,一方面极大降低了对手入|侵网络的攻|击面,另一方面还可以专心在这几个出口集中进行威胁监测。此外,可防御的边界还意味着要综合使用基于已知特征指标的、启发式的和行为的分析方法,并将其运用到基于主机(端点)的和基于网络的平台上去,从而实时观测和干预网络活动。【解读】结合笔者自身的经验,笔者认为对于防御而言,定边界的确是一项很重要的前置性工作,不论这个边界是物理还是虚拟的,是基于实体的还是基于身份的,是单层的,还是多层的,边界可以虚拟化,但不能模糊化。此外,可防御的边界还意味着尽量可控的攻|击面,文中提及的是最基本(但不简单)的对于大型企业而言的互联网出口的归口。而这也是为什么美国联邦政府在实施爱因斯坦2之前先花了大量力气去做TIC(可信互联网接入)的工作的原因。对于DODIN也是类似,通过JIE的单一安全架构设计,在互联网边界大幅减少互联网出口的数量和类型,并对所有战区连入网络的边界进行的一体化网络安全设计(部署JRSS)。
2)确保整个网络的可见性(Ensure visibility across the network)对网络流量的可见性和持续监测必须贯穿网络的所有层级,包括网关、中间节点和端点。如果在网络中触发了规则告警,分析师必须能够精确定位并隔离产生告警活动的实际端点主机。这个过程必须在几分钟而不是几个小时内产生效果。
此外,随着越来越多的流量被加密传输,SOC必须对此构建一套解决方案,以确保能够看见混入合法网络行为中的复杂威胁。【解读】我们说态势感知,其实很基本的一个能力就是看见(Visibility)。这个几年前国内就炒作过一轮了,现在反倒讲的少了,但实际上,网络安全对于看见的追求并未衰减。进一步地,什么是看见?从对象来说,不仅要看到流量和日志,更重要的是看到各种实体,尤其是网络实体和端点实体,并要能够将这些观测数据整合起来。从内容来说,就是看到网络中的各种实体的运行状态,实体之间行为交互,区分出正常和异常的实体状态及其行为,能够识别出攻|击入|侵和违规,并刻画出它们发展变化的过程(例如攻|击链)。从目标来说,看见不是目标,发现问题不是目标,看见只是手段,如何快速的响应和处置才是目标。在这个层面上,其实也扩展了“看见”的外延,即看见不仅是帮助运维人员发现问题,还包括协助响应者快速的处置问题。
3)强化最佳实践(Harden to best practices)安全事件通常是由于网络中更新不及时或者不合规的软硬件的脆弱性导致的。此外,当一个漏洞利用被披露或者一个补丁发布后,NCTOC会在24小时之内扫描整个DODIN(DOD信息网络),识别恶意行为体潜在的攻|击目标(未打补丁的服务器)。
可以说,及时进行(补丁)更新依然是NCTOC大力提倡的最佳防御实践之一,以此可以降低脆弱性的暴露面,并最大化软件的可靠性和保护能力。【解读】这里所指的最佳实践核心就是针对脆弱性管理、漏洞管理、补丁管理的实践。这个问题其实是知易行难。NSA说的没错,但更需要指导的是如何做到。其实,我们看爱因斯坦计划,前两年,它们在讲述建设成果的时候,主要的一个成果就是对于漏洞和漏洞利用的情报预警、共享,快速资产扫描和缺陷资产定位,以及打补丁的时间督查。想一想,花了几十亿美元的系统,实现了这个,值得还是不值得?做好漏洞管理难还是不难?
4)使用全面的威胁情报和机器学习(Use comprehensive threat intelligence and machine learning)在利用威胁情报前,建议先针对自身网络环境对威胁情报源进行定制。譬如DODIN中的网络威胁活动与医疗单位的可能有很大不同。SOC应该了解现有的防御性架构,判断哪些资产对敌方是有价值的,并对威胁情报订阅源进行相应地裁剪。
此外,面对海量的威胁情报和网络活动告警信息的时候,SOC应该运用数据科学和机器学习的方法,将这些海量信息提炼为可行动的结果(Actionable Results)。安全团队应该既能够对现存的告警进行响应,还能够对网络中过去未能检测到的威胁活动实施主动猎捕。【解读】这点比较好理解,国内都谈及的很多了。对于情报不必再求全,而要求准求精,注重有效性;对于AI/ML,已经作为一种技术方法融入到了各种安全设备和系统之中。
5)营造求知的文化(Create a culture of curiosity)单纯基于安全事件工单关闭的速度来衡量网络安全可能存在误导,使得响应者更关注于尽快处置告警,而不是去尽量完整地掌握攻|击活动本身。在采取了一个新对策后,如何预测敌对方可能的反应,对于我方响应者而言是一个挑战。因为持久化的敌对方会继续探测进入其感兴趣的网络的入口,并不会因为一次攻|击受阻就放弃。因此,SOC应始终努力采取先发制人的防御性行动,在他们的团队中注入创新性思维,找出敌对方各种新的技战术。
【解读】所谓求知,也可以理解为好奇心。安全分析师只有保持好奇心,具有强烈的求知欲,才能做好安全工作,才能获得个人能力的进阶。这种好奇心/求知欲,可以通过威胁捕猎(Threat Hunting)得到集中的体现。而求知欲也意味着个人精力的巨大长时间的投入,是很累的一个事情,要保持下去很难,若再考虑到回报的话,则更是难上加难。进一步,如何激发并保持一个团队而非某个个人的求知欲,又是一个大课题。最后,归根到底,这里谈及了安全对抗的一个核心本质——人。
作为一个SOC领域的从业人士,以上5点原则,与大家共勉。