安全情报成熟度模型分享与解读

  • brytw.cn   来源:新华网   2020/3/25 1:56:32  

时至今日,对于企业而言,如果竞争对手需要渗透进入他们的网络,那他们就能进入。下图呈现出近年来日益增长的全球性信息安全事件的调查图表。(图片来源:PwC, The Global State of Information Security Survey 2015, www.2cto.com)

 

\

 

Gartner 副总裁 Neil MacDonald 这样说到,到 2020 年企业的信息系统无疑将持续受到威胁,而面对先进的有针对性的攻击,他们根本无能为力。但至今仍有诸多企业把精力投放在防御措施上面,试图防护住所有针对他们的攻击,这样做极可能会得不偿失。如今信息安全转向快速的检测和响应能力,随之再进行深化部署防御,从而阻止攻击的近一步蔓延。关键在于快速应急响应能力,通过定义一个过程体系,来快速了解掌握发生的异常情况的影响范围。

高风险时间段:从威胁发生到得到缓解

如今,安全事件以每小时上千、上万起的高度频率爆发着。而在这其中夹杂着的更是数之不尽的威胁信息,它们如同将安全团队置身于迷雾,利用传统安全设备—诸如防火墙、

IDS/IPS、应用网关、反病毒反恶意软件等—进行威胁检测已是难以应付,更别提进行及时响应了。

衡量企业安全能力的两条重要指标分别是平均检测时间(MTTD)和平均响应时间(MTTR)。其中,MTTD 指企业发现一个对自己造成影响的并需要深入分析和应对的潜在威胁所花费的平均时间,MTTD 指企业全面分析威胁并缓解此次事件所花费的时间。

很多企业的这两项指标所花费的时间往往数周甚至是数月之久,而这个数值就意味着企业将在这段期间遭受极高的安全风险,即高风险时间段。同理,为这样的风险,我们应将这两项指标控制在天、小时的范围,最理想的情况则是将数值减低为小时、分钟。下图将展示

MTR 与 MTTD 的时间级与风险级别的关系曲线。

 

\

 

这曲线让我想到典型信息系统安全模型与框架中 P2DR 的数学模型。即 S 系统防护、检测和反应的时间关系如下:

If Pt > Dt + Rt, 那么 S 是安全的;

If Pt 那么 Et = (Dt + Rt) – Pt。

其中,Pt=防护时间(有效防御攻击的时间)Dt=检测时间(发起攻击到检测到攻击的时间)Rt=响应时间(检测到攻击到处理完成的时间)Et=暴露时间。当企业的 MTTR 与 MTTD 时间所花费越长,在 Pt 时间一定的情况下,那么 Et 时间即企业安全威胁暴露在外的时间就越长,那么遭遇到的风险就越高。

安全情报的必要性

安全情报在某种程度上就如同商务情报一般。我们知道,重要的商务情报可以使得我们在众多繁杂的情报中快速筛选掉无关的信息并从中寻找出我们以前没有注意到的、最有价值的商业机会。而安全情报就是在众多繁杂的威胁情报中促使企业清楚地看到威胁的核心,它旨在合适的契机与情景下传递最准确的消息从而显著降低检测、应急响应所花费的时间,也就是对企业 MTTD 与 MTTR 两项标准的能力进行提升。

由于安全情报往往因人而异,所以目前来说并没有统一的标准。安全情报是捕获关联的、可视化的信息并分析取证数据,从而可以有效检测和缓解那些对企业真正有害的威胁,同时建立起积极防御以备后患的过程。安全情报可以缩短用户 MTTD 与 MTTR 所花费的时间、对当前安全工具的价值进行扩展并可以结合机器学习发现一些潜在的、我们平常观察不到的威胁细节。

无论威胁是通过企业大量传感器检测到的、还是通过机器分析检测到的,安全情报的角色都是通过取证数据和情报的上下文,传递哪些真正潜在威胁的信息和结论。安全团队可以据此快速评估出这次安全事件是否会爆发以及它的威胁等级。确保有充分的信息提供给安全专家从而对此次事件作出快速、准确的决策。

当更深一步挖掘整个检测、响应过程的关键时,我们可以发现,一个理想的安全情报平台可以简化每个处理过程的工作流,尽可能提供自动化。而如果一个组织可以如此完善检测、响应生命周期中的每一个步骤,那么也就意味着降低了 MTTD 与 MTTR 的时间,更重要的是,减少了威胁暴露的时间。

从威胁检测到应急响应的生命周期

当某个威胁被确会使业务遭受风险并必须展开调查时,我们就可以说响应周期开始了。在当调查已全面完成并且成功解决了此次威胁时响应周期才结束。故而如果企业想避免这其中的损失,那么就必须把响应周期从几个月缩短到几分钟。

在这里,安全情报完全可以通过如下特点缩短响应周期:

▪ 通过高强度分析工具将威胁的多个维度和与事件关联的信息进行集中化

▪ 综合工作流和协作能力,加快分析和响应流程

▪ 自动化支持事件响应过程并部署解决方案从威胁检测到应急响应的生命周期各阶段详细过程如下图所示。

 

\

 

◎ 威胁检测阶段

▪ 线索发现

检测的第一步就是识别潜在的威胁,比如这个异常流量的交互到底是来源于我们的新客户还是黑客。而这个过程就要依托于在取证数据的噪声中进行近一步分析了。而主要的分析方式就是用户分析和机器分析这两种。

用户分析基于人,通过监测、观察指示器,认为评估趋势、行为和建模。

机器分析就是通过软件捕获数据流并持续对其进行的监测的分析,通过复杂分析算法优先识别出威胁的存在。

▪ 事件确认

评估威胁,确认威胁存在的真实情况,是属误报、可忽略容忍的风险等级,还是确实需要进一步深入调查的潜在威胁。

(其中这里所搜集的取证信息包括捕获到的日志、计算机上的数据、生成的取证数据以及整个安全事件的信息记录)

◎ 应急响应阶段

▪ 深度调查

安全小组在初步检测认定遭遇了安全事件的威胁后,会立即步入响应状态。开始深度调查分析威胁情况与风险规模,从而判断此次安全事件的整体态势,是正在进行,还是已经发生并开始启动缓解工作。

▪ 威胁缓解

这个阶段需要对于该事件发生根本原因、威胁影响规模、应急技巧等各方面有着充足的认识与丰富的经验。专业人员此时针对安全事件有着高度一致的观点和态度、与其它组织部门的合作沟通能力、充足的知识储备以及自动化的响应应急机制。

▪ 恢复加固

这是该生命周期的最后一个步骤,也算是为事件应急处理后做“清扫战场”的工作,诸如在环境中根除环境中的所有威胁情况、清理恶意资源、加固环境,最后对引发事件的根源问题进行分析总结,预防同样情况再次发生。

LogRhythm 安全情报成熟度模型(SIMM)

我们说安全是一个过程而非终点,因此需要花费时间和资源逐渐打造企业成熟的安全能力。从某种意义上讲,这就是降低企业的 MTTD 与 MTTR。然而,对于希望减少网络安全风险状态的组织来说,拥有高等级 MTTD 与 MTTR 的能力确实是必不可少的。

安全情报其实是企业对于降低 MTTD 与 MTTR 最为有效的投资。SIMM 模型可以帮助组织评估当前的安全情报能力以及相关的风险状态。这种模型还为他们寻求近一步的提高提供了蓝图。

该模型旨在建立和完善一个组织的安全检测和响应能力,并强烈反对仅仅简单将个人安全产品的投入使用。然而。以技术为基础的解决方案在如上所述的各个阶段都起到了至关重要的作用。理想情况下,功能是通过端对端的闭环威胁检测与响应过程的集成和统一平台来进行交付的。

对于安全情报平台,防止受到网络安全威胁的关键举措如下所示:

▪ 提供集中化的、实时获取日志取证的平台并从完整 IT 大环境中提取机器数据

▪ 提供持续的或按需的传感器,可以从网络节点、服务器、网络、高风险区域中获取额外的取证数据

▪ 统一处理采集到的数据,将其情景化再现并高度分类以方便下游进行分析

▪ 提供最高端的机器进行分析以便通过如下方式,持续化自动化收集、分析风险与高级威胁:

- 可以 100% 获取取证数据

- 从相关性分析的混合技术的应用到基于行为建模机器学习

- 分别从情景与基于风险取证的方面对威胁的优先级进行智能排序

▪ 对需要通过事件应急响应近一步进行调查和持续管理的高风险级别事件提供实时的、可视化的平台

▪ 通过高强度基于搜索技术的分析工具,使得应急者可以通过集中化获取原始的、高度情景化的取证数据来全方位观察事件

▪ 通过情报驱动和高度集成工作流提供最优决策与自动化事件响应能力

SIMM 成熟度模型包含了不同等级的合规,从 Level 0 等级(没有基础的安全情报能力,使得企业完全暴露风险)到 Level 4 等级(有成熟完整的安全情报能力,拥有卓越的安全态势感知能力),其中 MTTD、MTTR 时间值与安全情报能力成熟度的线性关系如下图所示。

 

\

 

其中 4 等级的划分矩阵如下所示。

Level 0 盲区状态

★ 时间级别:

MTTD -> 月计 ;MTTR -> 月计 或 周计

★ 安全情报能力:



相关阅读:
天津房产抵押贷款 http://1579593.shop.52bjw.cn

八卦门·竞技场

娱乐 | 体育