本文来自微信公众号日志易,https://mp.weixin.qq.com/s/wqLj9B4LTl2vfkrZcguYGA
https://mp.weixin.qq.com/s/2q4d8Oj9VwifiiDMH5uQQA
大家好,很荣幸能在这里和大家做一个安全方面的分享。最近护网比较热,等保2.0兴起,安全的话题一提再提,相信大家也对企业安全建设有了一些心得,可能还有一些困惑。日志易最近做了不少护网的项目,借这个直播的机会,也算是和大家分享一些我们在SOC/SIEM实践方面的经验。
关于今天的分享呢,关键词有三个:快速响应、统计挖掘、溯源分析。这三个关键词也是SOC/SIEM建设方面的三个要点,几乎涵盖了安全建设的主要内容。
基于这三个要点,我们来看一下今天分享的内容。
首先,我会从现在企业安全运营面临的主要问题出发,分析一下SIEM建设的背景:这部分的内容包括企业面对安全体系建设面临的诸多问题,传统的SOC/SIEM建设的流程,以及各企业SOC/SIEM落地过程中遇到的一些问题。
在做真正的安全体系建设的时候,还应注意一个要点:任何体系的建设都离不开人、流程和技术,而这也是影响SOC/SIEM项目成功的三要素。
下面我们会系统性地讲解一下SOC/SIEM建设的流程,包括识别内外部环境、日志采集、资产管理、威胁建模、溯源取证、安全事件响应机制建设与协作运营。这也会是今天分享的重点内容。
再之后,就是总结和答疑了。
1、SIEM建设背景
目前企业安全运营面临的主要问题
企业的安全运营面临诸多问题。
一是安全设备多,日常维护压力大。一般企业发展到一定阶段,经过一段时间的安全建设,都会建立起较为完善的,或基础的安全防御体系,会部署了一定数量的、多种类型的安全产品,如防火墙、WAF、IPS、NIDS、防病毒、邮件网关、HIDS等,但各类安全产品之间是相互孤立的。由于安全管理人员精力有限,面对整个安全防御体系中的安全产品,日常维护管理压力很大(主要是需要查看不同的设备上的告警进行分析,并协调处置)。
二是日志量大,告警事项多,且无事件处理优先级之分。种类众多的安全设备,每天都会产生大量的日志,其中不乏大量的误报信息。而实际上,安全建设人少活多,安全运维人员每天处理的安全事件有限,可能导致关键的安全信息和告警被大量的无效告警所淹没。
三是安全事件闭环处理进展缓慢,或者并无闭环处置。安全事件对应的资产,往往需要单独再去资产库里面进行查询,同时资产上对应的漏洞也无从得知,在整个安全事件闭环管理上,安全管理人员容易出现大量未知的空白区,无法促使安全管理人员做出有效且快速的判断,实现对安全事件的处置。
同时,安全运营实际上应该是整个内部团队的事情,因为安全运营涉及的方面很多,往往需要跨部门沟通,比如当出现安全事件的时候,进行了一番分析,接下来需要进行处置的时候,就需要和网络、运维或基础架构等不同的部门或小组之间的协调沟通,这个过程可能沟通很慢、推进困难,但是也不能就此搁置不管。这个我们后面还会提到。
再者就是安全现状不可见。有时候,在企业的边界上、各安全域中,每天、每周、每月、每年,出现了多少个安全事件?涉及多少种告警类型?安全事件发展趋势如何?最终结果是成功还是失败?我们很少能快速地回到上面的问题。但上述问题又是了解企业综合安全情况的重要衡量指标,这也是与不同的安全设备之间的孤立性有关。
所以,实际上,我们要回答上面的几个重要问题,还是需要先回到企业自身的内外网环境以及边界加以了解。
当然,有些企业环境,如银行机构等,内网环境相对比较复杂。边界也不仅是说互联网边界,也可能是各个安全域之间的边界情况。所以我们才需要一个平台/工具类的产品,如SOC/SIEM,帮我们将企业中,内网以及边界的各类安全防御技术手段的分析结果,也可以说是日志,集中一起,并进行二次分析,并在之后,给予安全管理人员以告警信息,促使安全管理人员可以借此得到提示,展开取证调查。
同时还是那个问题,在人少活多的环境下,我们应该优先处理哪些问题?所以也应该有个工具/平台来帮我们去做分析决策了,这就是SOC/SIEM。
传统SOC/SIEM的建设过程
这里有一个简单的SOC/SIEM的建设流程图。现实的情况往往要复杂的多,我们只是拿这个图来做一个基本的了解。
首先是数据源。数据源包括安全设备、网络设备、应用系统、数据库,以及其他的日志类型,采集端一般会接收到数据源转发过来的日志,日志进来之后往往会有一个范式化清洗的流程,这个过程,会将不同类型的事件进行解析、映射等,处理之后才好去做统计分析。[这个过程,会将不同类型的事件进行解析、映射等,]再然后是消息队列,可能是Kafka之类的组件,之后范式化后的数据一方面入库,我们可以基于范式化后的结果进行查询、统计、分析。而分析可能采用的是计算引擎或如日志易的SPL,最后会把分析结果/查询统计结果给到前端进行调用进行展示。
这其中更为主要的节点是在解析阶段,因为解析的质量直接影响分析及展示的效果。在实践的时候,我们往往会有两种方式来保障数据解析的质量。
一是与厂商进行沟通,获取到不同安全设备的日志格式解释类文档,这是保障解析质量最为可靠的方式,由此也可以进行一定的日志解析经验积累。二是在有积累或与设备厂商沟通的基础上,应确保数据解析过程中,解析人员和解析工作的规范性,即解析人员尽可能保持稳定,同时解析结果需要输出解析文档,并由甲方安全管理人员在解析阶段就介入,对解析的结果进行校验,以确保解析的质量。
因为在项目初期,相对于乙方,往往甲方安全管理人员才是最为熟悉自身企业的环境情况,而自身环境的了解程度,也影响数据解析时,事件如何分割,字段需要与否等问题的决策,所以这个过程强调甲方的介入。
目前SOC/SIEM存在的通用落地问题
SOC/SIEM存在的落地问题主要是下面几类。
首先,安全事件处置优先级并无明确指引。很多企业往往只是固化地按照威胁定义的高中低告警级别来实施处理,但实践证明,在大量威胁告警并发情况下,按高中低的评估方式存在较大的不足。原因在于,风险值没有对应相应的指引方式,无法落实到相应的漏洞。如有些告警虽然是高危,但被阻断了;有些威胁,虽然是低危,但是恰好资产上存在对应的漏洞,可被其利用。
针对优先级这点,我们可以从一个威胁与资产、漏洞之间的关系,来推导其中的风险程度,从而进行处理的优先级分配,合理安排安全管理人员的时间。
第二个落地的难点,在于SOC/SIEM平台只有安全管理人员使用,安全事件的闭环处置执行不了完整流程。我们前面也说过,安全事件的处置应该多角色参与进来,如网络管理人员、基础架构人员等。因为一个安全事件从监测、分析到处置,需要多个不同角色的人员进行配合,而在沟通的过程中,就需要强调SOC/SIEM平台的权限管理能力。因为对不同角色划分不同的数据访问权限或临时授权,有利于提高沟通的效率。
第三是过多依赖已知威胁场景的构建,忽略了应强调对可疑事件以及未知威胁的分析。
我们将威胁分为三类,已知威胁、可疑威胁(没有办法马上确认,需要进行调查分析的事件)、未知威胁(不在认知中的,需要对海量日志进行挖掘统计,才能发现异常的威胁)。上述的威胁,我们认为是客观存在企业环境中的,不会随着人员的主观意识而改变。很多厂商规则库中内置了几百种规则[几百种],然而企业真正能开箱即用的规则很少(每个企业不会一般超过20种),很多规则都需要进行优化调试才具备落地投产的价值。然而,对于企业单位而言,内置的规则,我们可以认为就是已知的威胁,是专家经验的固化。我们往往看重已知威胁(或者内置规则),所以大部分精力都放在了已知威胁上,这里并不是说规则不重要,应该说持续优化的规则才是重要的。实际上,在企业环境中,我们应该花更多时间在对可疑事件以及未知威胁的分析上,这些事件的风险是很高的,重点放在这些事件上,才能提高SOC/SIEM平台的价值。
虽然可疑事件及未知威胁不好分析,但究其根本,了解内外部环境,是分析的根本。因为检测异常主要有两种模式,我们定义为黑名单模式和白名单模式。在黑名单中,命中了,就是异常,这也是发现已知威胁的模式。而另外一种,白名单,则是相反。但出现与白名单不符的事件,即有异常。所以白名单的范围,直接决定了异常事件的准确度。在了解自身环境的基础上,扩展白名单范围,以不变应万变,始终是分析可疑事件/未知事件的主要原则。
第四就是落地威胁场景的过程,忽略持续对其优化。如上述所言,我们应该基于对实际环境的了解,不断对规则进行优化过滤,如白名单、严格过滤收敛,最后缩小范围,提高规则的准确度。不同企业安全体系的建设的侧重点不同,不能持续优化、收敛的规则,对企业的环境而言不具备普适性,可能就是不适用于我们的环境的。
2、影响SOC/SIEM项目成功的三要素
这点也算是对前面讲的内容的一个小结。
通过上面对SOC/SIEM建设背景的分析,我们基本可以了解到:SIEM的成功实施,是ß离不开是三个要素的——人、流程、技术。
企业SIEM建设需要注意几个要点。
首先,SIEM流程建设应融入整体工作流程。只有这样,安全才不是一个孤立的系统。我们的SIEM要与工单系统对接,与OA对接。这是流程化的内容。
其次,是要做好用户分权设计。SIEM体系建设需要多方协同,有多角色参与的需要,就要有不同角色的权限分配或针对某个事件对某个角色(可能是外部的第三方人员)临时授权之类的权限管理。这里面一部分是安全事件处置的流程化影响的。
SIEM建设需要提高威胁模型准确度。不是一味的强调开箱即用,应该有人力的不断投入,有一个不断优化的流程。
SIEM建设还应着重于可疑威胁的分析。什么事件是可疑的呢?比如某些安全事件,可能已经被WAF过滤掉了,但这可能又是另外一个安全事件的分析入口。又比如新创建的账户、账户出现了权限变更,在特定的时间/情境下,都需要引起分析人员的注意。
再者就是做好事件优先级的判断了。这就需要安全管理人员结合资产、漏洞的情况进行识别分析,不能仅仅依靠高中低的告警级别进行判断,因为机器是远不如人类智能的,规则是死的,而实际情况是多变的。
SIEM成功实施与否,始终离不开流程、技术和人这三个要素。
3、SOC/SIEM体系建设
SOC/SIEM体系的建设要基于企业自身的环境现状,所以企业内外部环境识别是首要的。
识别内外部环境
识别内外部环境分为两块。一是识别区域与外部边界。二是识别当前网络上下行链路以及内部基础设施。
识别区域与外部边界可以从业务所在区域和人员所在区域入手。
业务所在区域一般以防火墙或WAF为防御边界。
人员所在区域或办公区域一般以终端为防御边界。
识别当前网络上下行链路以及内部基础设施自然是从网络上下行链路以及内部基础设施入手。
本文未完,加载原文请点击https://mp.weixin.qq.com/s/wqLj9B4LTl2vfkrZcguYGA
https://mp.weixin.qq.com/s/2q4d8Oj9VwifiiDMH5uQQA