王弢 360企業(yè)安全集團

近年來(lái)，工業(yè)信息安全工作越來(lái)越受到政府、工業(yè)用戶(hù)、科研機構和工控系統廠(chǎng)商的重視。工業(yè)信息安全廠(chǎng)商為滿(mǎn)足客戶(hù)合規性和現實(shí)中面對安全風(fēng)險的需要，開(kāi)發(fā)了專(zhuān)門(mén)針對工業(yè)控制系統的專(zhuān)用安全產(chǎn)品和安全解決方案。這些產(chǎn)品和解決方案的設計理念大多基于IT信息安全行業(yè)傳統的防護思想，雖然對解決目前迫切的工業(yè)安全防護需求有很大的幫助，但當面對有其它國家政府或大型組織背景，使用APT攻擊或0-day漏洞攻擊的威脅，常常不能提供充分、有效的防護。

經(jīng)過(guò)多年的發(fā)展，IT信息安全領(lǐng)域的專(zhuān)家已經(jīng)深刻認識到，只依靠傳統的基于防火墻、防病毒軟件、IDS等產(chǎn)品的安全解決方案不能有效應對越來(lái)越嚴重的信息安全威脅。IT信息安全領(lǐng)域近年來(lái)正在發(fā)生重大而深刻的變革，新的理念、新的方法、新的產(chǎn)品不斷涌現。信息安全從業(yè)者嘗試基于積極防御、威脅情報、態(tài)勢感知、數據驅動(dòng)安全、安全可視化等理念，使用大數據、人工智能等新技術(shù)解決信息安全問(wèn)題，并取得了良好的效果。國家關(guān)鍵信息基礎設施用戶(hù)面對的信息安全威脅常常不是僅有少量資源的“小黑客”，而是儲備大量0-day漏洞，并具有將其“武器化”能力的敵對政府和組織。對這些設施的安全防護方案需要借鑒IT信息安全領(lǐng)域最新的安全理念和成果，才能滿(mǎn)足安全需求。

與此同時(shí)，工業(yè)信息安全需要特別強調與工控系統可靠性、功能安全性等特性的平衡與統一，即R可靠性（Reliability）、A可用性（Availability）、M可維修性（Maintainability）、S安全性（Safety、Security）協(xié)調發(fā)展。IT信息安全領(lǐng)域的理念和方法不能不加選擇地照搬。本文嘗試將IT信息安全領(lǐng)域已取得共識的，適合工業(yè)信息安全領(lǐng)域使用的一些理念和方法引入工業(yè)信息安全領(lǐng)域，希望能對行業(yè)從業(yè)者提供一點(diǎn)參考和借鑒。

1　數據驅動(dòng)安全

2011年5月，全球知名咨詢(xún)公司麥肯錫（Mckinsey）發(fā)布了《大數據：創(chuàng )新、競爭和生產(chǎn)力的下一個(gè)前沿領(lǐng)域》報告，首次提出“大數據”的概念，并在報告中指出：“大數據已經(jīng)滲透到每一個(gè)行業(yè)，逐漸成為重要的生產(chǎn)要素，而人們對于海量數據的運用將預示著(zhù)新一波生產(chǎn)率的增長(cháng)和消費者盈余浪潮的到來(lái)?！薄皵祿皇菍祿看笮〉拿枋?，而是對各種數據進(jìn)行快速地攫取、處理和整理的過(guò)程。通過(guò)對海量數據的整理和分析，從而挖掘出新知識，創(chuàng )造新價(jià)值?！?/p>

大數據時(shí)代的到來(lái)， 為企業(yè)帶來(lái)了新的安全問(wèn)題，同時(shí)也為企業(yè)安全提供了新的技術(shù)手段。Gartner副總裁、知名分析師、Gartner榮譽(yù)研究員Neil MacDonald表示：“信息安全團隊和基礎設施必須適應，以支持新興的數字業(yè)務(wù)需求，同時(shí)應對日益先進(jìn)、嚴峻的威脅形勢。安全和風(fēng)險負責人如果要定義、實(shí)現和維持有效的安全和風(fēng)險管理項目，他們需要全面了解最新的技術(shù)趨勢，同時(shí)實(shí)現數字業(yè)務(wù)機會(huì )并管理風(fēng)險?！?/p>

大數據處理的理念和技術(shù)對以積極防御為平臺的威脅情報收集和應用，并進(jìn)一步的工業(yè)態(tài)勢感知，具有基礎性作用。

2　積極防御

為了實(shí)現持續的工業(yè)安全風(fēng)險管理目標，企業(yè)需要建立能夠隨著(zhù)時(shí)間不斷演進(jìn)的安全架構和技術(shù)支撐體系。這會(huì )讓企業(yè)在面對威脅和挑戰時(shí)不斷完善自身防御體系以及強化防御“姿態(tài)”。

SANS研究所的Robert M. Lee提出了一個(gè)動(dòng)態(tài)安全模型——網(wǎng)絡(luò )安全滑動(dòng)標尺模型。該標尺模型共包含五大類(lèi)別，分別為架構安全（Architecture）、被動(dòng)防御（Passive Defense）、積極防御、情報（Intelligence）和進(jìn)攻（Offense）。這五大類(lèi)別之間具有連續性關(guān)系，并有效展示了防御逐步提升的理念。

圖1 網(wǎng)絡(luò )安全滑動(dòng)標尺模型

（1）架構安全：在系統規劃、建立和維護的過(guò)程中充分考慮安全防護。

（2）被動(dòng)防御：在無(wú)人員介入的情況下，附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統。

（3）積極防御：分析人員對處于所防御網(wǎng)絡(luò )內的威脅進(jìn)行監控、響應、學(xué)習（經(jīng)驗）和應用知識（理解）的過(guò)程。

（4）情報：收集數據，將數據轉換為信息，并將信息生產(chǎn)加工為評估結果以填補已知知識缺口的過(guò)程。

（5）進(jìn)攻：在友好網(wǎng)絡(luò )之外對攻擊者采取的直接行動(dòng)（按照國內網(wǎng)絡(luò )安全法要求，對于企業(yè)來(lái)說(shuō)主要是通過(guò)法律手段對攻擊者進(jìn)行反擊）。

現階段大多數工業(yè)企業(yè)的工業(yè)信息安全工作都聚焦于“架構安全”和“被動(dòng)防御”，對“積極防御”和“情報”則涉及較少，因此在設計工業(yè)安全防護方案時(shí)應該聚焦于回顧“架構安全”補強“被動(dòng)防御”，重點(diǎn)發(fā)展“積極防御”和“情報驅動(dòng)”，以有效提高企業(yè)的信息安全防護能力。

在進(jìn)行“被動(dòng)防御”改進(jìn)與“積極防御”進(jìn)階時(shí)，Gartner的自適應安全架構，則可作為較好的參考。

圖2 自適應安全架構

自適應安全架構將持續的監控和分析過(guò)程分為：預防預測、阻止與防護、檢測與監控、響應與調查四個(gè)主要環(huán)節，每個(gè)環(huán)節中包含多個(gè)監控和分析方法。而支撐這些監控和分析方法的是企業(yè)或組織內部的各層數據和威脅情報。

3　威脅情報

依據美國國家安全系統委員會(huì )（CNSS）提供的定義，在網(wǎng)絡(luò )安全領(lǐng)域的態(tài)勢感知是指：在一定的時(shí)間和空間范圍內，對組織的安全狀態(tài)以及威脅環(huán)境的感知，理解這兩者的含義以及意味的風(fēng)險，并對它們未來(lái)的狀態(tài)進(jìn)行預測。

這里面我們可以解讀出兩種含義：

（1）態(tài)勢感知需要掌握組織內部的安全狀態(tài)，以及相關(guān)的外部威脅環(huán)境數據。掌握組織內部的安全狀態(tài)主要依賴(lài)主動(dòng)防御措施，采用數據驅動(dòng)的持續監控方案，而相關(guān)的外部威脅環(huán)境數據，就是指威脅情報。

（2）態(tài)勢感知的目的是深入理解當前的風(fēng)險，并可以對未來(lái)的風(fēng)險進(jìn)行預測、預防。試想下面一種情況：內部發(fā)現有一臺終端被黑客的木馬控制，單純這一個(gè)事件并不能讓我們對其風(fēng)險有深入了解，如果我們通過(guò)威脅情報判定黑客的攻擊目地，就可以對風(fēng)險有進(jìn)一步的理解，如果進(jìn)一步獲取其團伙的技術(shù)水平、經(jīng)常使用的技戰術(shù)手法等情報，就可以反觀(guān)組織現有的檢測、防御措施，給出預警以及配套的預防改進(jìn)措施。

威脅情報是基于證據、有關(guān)已知或新型威脅或危害的知識，包括上下文、機制、檢測指標、影響和活動(dòng)建議，能夠作為應對的決策依據?；诮M織中安全人員不同角色的決策需要，我們還可以把情報分為3類(lèi)：

（1）高層管理者使用的戰略情報

以CSO為代表的公司高層管理者最重要的工作之一是在管理層溝通、獲取資源并進(jìn)行資源的分配。其中的挑戰是其它管理層難以了解攻防技術(shù)、眾多安全建設工作的優(yōu)先級排定缺少依據。戰略情報提供組織需要面對的攻擊者類(lèi)型、動(dòng)機、能力及潛在風(fēng)險方面的情報。CSO可以使用自身或行業(yè)面對的真實(shí)對手及其風(fēng)險來(lái)更好地和管理層溝通，也可以基于這些風(fēng)險和攻擊的可能性提供優(yōu)先級排序進(jìn)而優(yōu)化資源分配。這部分的情報可以由有豐厚威脅情報能力的安全廠(chǎng)商以服務(wù)的形式提供。

（2）SRC或安全分析團隊使用的運營(yíng)層面的情報

SRC團隊的主要工作是對已經(jīng)發(fā)現的失陷攻擊事件進(jìn)行深入分析、確定攻擊細節和影響面，并采取緩解、清除等響應活動(dòng)。同時(shí)SRC團隊也會(huì )進(jìn)行Hunting（安全狩獵）的工作，主動(dòng)發(fā)現可能存在的失陷情況。這樣的工作都需要他們掌握更多的不同攻擊類(lèi)型相關(guān)的TTP知識（戰術(shù)、技術(shù)和過(guò)程方法），以及了解更多攻擊相關(guān)的上下文信息（攻擊目的、危害、傳播方式等），以加快分析溯源的時(shí)間并掌握更多識別失陷的分析模式。這些情報通常以云端威脅情報平臺等形式提供。

（3）機器可自動(dòng)化處理的機讀情報（MRTI）

安全運維人員使用這些情報一般有兩個(gè)作用，一是作為檢測指標（IOC）下發(fā)到安全設備中，檢測其它安全產(chǎn)品未能發(fā)現的威脅，如CnC類(lèi)別的威脅情報；另一個(gè)作用就是用來(lái)判別誤報及確定高優(yōu)先級的報警，如IP信譽(yù)、域名信譽(yù)等。這種類(lèi)型的情報常常和安全產(chǎn)品緊密結合在一起使用。

安全廠(chǎng)商生成威脅情報是一個(gè)復雜的過(guò)程，需要具備多種能力才有可能完成，一般可以分為如圖3所示的八步。

圖3 威脅情報的產(chǎn)生過(guò)程

（1）數據收集

數據收集是威脅情報生成最關(guān)鍵的環(huán)節，決定了產(chǎn)生的情報是否能最全面的覆蓋威脅，因此往往會(huì )聚集多種不同來(lái)源的情報數據。

（2）數據清洗

將以上數據根據后續加工的需要進(jìn)行整理、去除不可信數據、將關(guān)鍵數據結構化等過(guò)程。

（3）數據關(guān)聯(lián)

數據關(guān)聯(lián)是數據驗證的前提條件，通過(guò)數據關(guān)聯(lián)梳理不同類(lèi)型數據間的關(guān)系，如樣本、樣本不同方式的檢測分析結果、樣本的網(wǎng)絡(luò )行為、域名注冊者、域名指向的IP、IP上面的其它域名等。

（4）驗證

通過(guò)建立關(guān)聯(lián)關(guān)系的數據，再利用機器學(xué)習的方式（有可能結合部分的人工分析）對情報的準確性進(jìn)行驗證，并賦予相應的可信度指標。

（5）上下文

包括如攻擊類(lèi)型、樣本家族、攻擊團伙、攻擊目地、傳播渠道、具體危害等報警響應需要的內容。

（6）優(yōu)先級

根據攻擊目的、具體危害等信息，確定報警優(yōu)先等級信息。

（7）格式化

根據分發(fā)的要求，將情報以特定的格式輸出，如：STIX、openIOC、JSON、xml等，非MRTI類(lèi)型的情報還可能以PDF、word等類(lèi)型提供。

（8）情報分發(fā)

根據不同類(lèi)型情報的用途，可以推送給安全產(chǎn)品、打包供下載，或者郵件發(fā)送。

4　基于威脅情報的態(tài)勢感知

威脅情報在態(tài)勢感知中可以發(fā)揮多重的作用，比較關(guān)鍵的有以下幾種：

（1）在大數據平臺等態(tài)勢組件中集成威脅情報的檢測能力

如C&C類(lèi)的威脅情報，通過(guò)流量或者日志的匹配檢測，可以幫助組織盡快發(fā)現內部被黑客控制的傀儡機，防止木馬后門(mén)等惡意軟件帶來(lái)的數據失竊問(wèn)題。

（2）提供配套的報警分析處置工具，加速事件響應進(jìn)程

通過(guò)良好的情報工具，安全響應人員可以更好地完成以下任務(wù)：報警等級以及誤報判別、攻擊目地判定、攻擊者畫(huà)像（通過(guò)關(guān)聯(lián)分析，查找攻擊者相關(guān)的攻擊事件及技戰術(shù)分析等）。

5　安全可視化

數據可視化是研究如何將數據之間的關(guān)聯(lián)關(guān)系以及蘊含的意義，通過(guò)可視化方式進(jìn)行展現，便于分析人員的深度分析技術(shù)。尤其對于情報分析領(lǐng)域，可以極大地提升情報分析的效率和效果。在工業(yè)安全方面，一方面可利用可視化技術(shù)，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等數據結構化，形成高維度的可視化方案，以便于用戶(hù)理解；另一方面可以通過(guò)可視化技術(shù)將威脅事件與企業(yè)業(yè)務(wù)進(jìn)行有機結合，通過(guò)態(tài)勢感知大屏將內網(wǎng)全局的安全態(tài)勢以圖形化的方式直觀(guān)呈現，將安全由不可見(jiàn)變?yōu)榭梢?jiàn)。

6　結語(yǔ)

本文將IT信息安全領(lǐng)域數據驅動(dòng)安全、積極防御、威脅情報、基于威脅情報的態(tài)勢感知、安全可視化理念和方法引入工業(yè)信息安全領(lǐng)域。其中數據驅動(dòng)安全是技術(shù)基礎，積極防御是平臺，威脅情報是核心，態(tài)勢感知是結果，安全可視化是手段。希望這些理念和方法能夠促進(jìn)工業(yè)信息安全行業(yè)的發(fā)展。

作者簡(jiǎn)介

王弢，男，現任360企業(yè)安全集團工業(yè)安全產(chǎn)品線(xiàn)副總監，主要從事工業(yè)安全相關(guān)工作。從事自動(dòng)化控制系統的研發(fā)和研發(fā)管理工作十余年，負責或參與DCS、SIS、PLC、核電儀控系統、鐵路信號系統、SCADA等產(chǎn)品開(kāi)發(fā)。

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯