国内网络安全威胁情报工作体系构建研究

国内网络安全威胁情报工作体系构建研究,2010Google"极光";,(APT)Google公司,导致关键知识产权数据被盗2017年5,Wanacry,150多个国家的近30,,情报整合中心(CTIIC),网络攻击呈,导致我们不得不以"假设可能或者已遭受入侵";,而充分利用网络安全情报是实现主动防护的关键所在。我国基础电信运营商作为国有大型电信企业,运营着全球最庞大的基础通信网络,拥有海量的网络基础设施和重要敏感数据,做好网络安全防护的重要性不言而喻。而传统被动式防护手段已很难满足运营商网络安全防护需求,网络安全防护的思路要由过去基于漏洞为中心向基于威胁情报为中心转变,而如何持续获取高价值的网络安全威胁情报,形成完善的网络安全威胁情报工作体系,将成为实现转变的重中之重。本文分析了当前国际、国内网络安全威胁情报工作体系发展情况,从基础电信企业网络安全威胁情报工作现状及问题入手,通过深入分析,从机制、管理、共享等方面提出了具体的工作思路,为基础电信企业进一步加强网络安全威胁情报工作顶层设计、建立网络安全威胁情报工作体系、健全网络安全威胁情报工作机制,提供有益参考和借鉴。1、网络安全威胁情报的概念及特性知名咨询公司Gartner于2013年给出了网络安全威胁情报的定义,即基于一系列证据的知识集合,包括结合具体场景、利用某种机制、指标和各种蛛丝马迹的消息等提出的具有可操作性的建议,这些建议可以为决策者保护信息资产面临网络安全威胁或风险需要做出正确决定时提供意见参考。威胁情报具有六大特征:一是真实性,所有推演或预测一定基于事实基础;二是场景性,威胁情报一定是在某个当下的场景中得到的,时空上具有局限性;三是手段性,威胁情报获取方法和途径不同,采集机制有差异;四是特征性,威胁情报都能用指标来进行表征,以便更好的共享利用;五是分析性,威胁情报都需要通过分析一些明确或潜在的数据信息来获取;六是建议性,威胁情报的机制在于其是否能被有效利用以降低网络安全威胁或风险。2、国内外网络安全威胁情报工作体系发展情况通过对当前国内外网络安全威胁情报工作体系发展进行深入调研,可从功能角度将威胁情报工作归纳为4个领域,如图1所示;4个领域相辅相成,互为依托,构成网络安全威胁情报POSI工作体系。政策法规,从立法上明确顶层架构,从政策上明确发展导向,发展的顶层设计。组织机制,架和机制。共享标准,供了先决条件。产业发展,只有激活产业发展生态圈,富、迭代、演进和发展。、国际方面,共享标准和产业发展等各方面已形成较为成熟的网络安全情报工作体系。:,2012,允许政府部;2013;2014,明确了国家网络安全和通信综合中心(NCCIC)"作为联邦与非联邦实体的接口,共享与网络安全有关";7;,对网络安全威胁情报共享中的隐私及敏感数据保护、情报标识追踪等进行明确规定。图1网络安全威胁情报POSI工作体系:20152,(CTIIC),作为美国政府防范和应对网络威胁的主要部门和全国性网络威胁情报中心,负责整合国家,络破坏的数据,协调网络威胁的分析和评估,提高政府对于网络威胁的集体反应能力,协助政府更有效地防范和应对网络攻击。:,主流的标准包括STIX、OpenIOC等,,使安全威胁自动,STIX;TAXIISTIX,在共享传输速度、安全隐私保护、低技术门;OpenIOC可提供丰富灵活的格式将数据转化为机读形式。:,RSANetWitnessLive、IBMQRadar、McAfeeThreatIntelligence等。、国内方面我国高度重视网络安全及威胁情报工作,近年来已从立法、机制、标准等各方面都加强了布局。:2016"促进有关部";;2017,;,,明确要建设网络,统一汇集、存储、分析、通报、发布网络安全威胁。组织机制:,研究制定网络安全发展战略和重大政策,推动网络安全建设,委员会下设办公室,负责统筹协调推动全国网络安全工作落实;在委员会办公室下设国家互联网应急中心(CNCERT),统筹对网络攻击、威胁、漏洞、隐患等信息进行监测、预警、分析处置和防范。:201810(GB/T36643-2018),从观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等8个组件进行描述,并将组件划分为对象、方法和事件3个域,构建出一个完整的网络安全威胁信息表达模型,为国内网络安全威胁情报的自动化获取和分析奠定了良好基础。:,360威胁情报中心、谷安天FireEye安全情报搜集与分析服务等。、小结综合以上分析可知,美国等发达国家已建立相对完备的网络威胁情报工作体系,为政府实时掌握来自国内外的网络威胁情报,应对国家安全特别是网络安全威胁提供了强有力的支持;而我国在这些方面还处于快速发展和成长期,有待进一步加快立法进程,构建适应新时期的网络安全威胁情报工作的制度体系,形成国家级跨行业的网络安全威胁情报共享平台,推动产业各方逐步走向成熟。3、基础电信企业网络安全威胁情报工作现状及存在问题基础电信企业一直以积极履行网络安全责任,按要求全力开展网络安全威胁治理:一是由安全专职部门或归口管理部门统筹开展企业网络安全工作,,,依托日常管理手段实现跨部门信息共享、预警和联动处置;二是对业务、日志、信令等数据进行统,针对移动恶意程序、僵木蠕病毒程序、垃圾彩信、违规网站等建设了系列网络安全,DDoS,;"";,将网络安全工作贯穿于网络建设、系统维护及业务发展的各个环节。但对标国内外先进实践,基础电信企业在威胁情报工作方面还存在差距:一是威胁情报内容及来源单一。通过部署监测采集设备,已掌握包括流量、日志、业务等相关数据及恶意程序、恶意资源等安全平台监测数据,但未实现与外部威胁情报的有机整合,未形成多元化威胁情报库;二是威胁情报数据分散缺乏统一管理。内部安全漏洞、安全事件、恶意程序、病毒、恶意网络资源等威胁数据分散于各系统中,未形成威胁数据集中化存储、管理及有效的报送机制;三是利用威胁情报辅助应急的能力有限。网络安全威胁情报的收集和应急处置工作还基本处于经验管理阶段,未实现自动化收集及利用大数据技术结合外部威胁情报进行建模分析,形成高价值的威胁情报及合理的共享机制,快速生成安全策略并指导应急处置的能力还有待提升。4、基础电信企业网络安全威胁情报工作思路根据以上分析可知,当前网络安全威胁情报工作已经不容忽视,基础电信企业要紧跟国内外技术发展,结合自身实际对标POSI工作体系,从机制、管理、共享等重要方面,明确网络安全威胁情报的工作思路和举措,加快推动内部网络安全威胁情报工作体系建设,进一步提升网络安全防护能力和水平。、全面梳理、集中管理网络安全是全局性问题,不能完全依靠单个部门解决,建议对企业内部各专业条线分割管理的资产、数据、监测平台等进行全面梳理,按上级监测处置要求,强化对流量、日志、业务数据和恶意程序及资源、安全漏洞及事件等数据的集中汇聚和统一管理,引入第三方威胁情报数据,进行分类整合,形成多元化网络安全威胁情报库。,,可从网络安全防护的角度将421小类(2其中,13,包括钓鱼网站服务器IPIPIP地址、IP址、移动恶意程序传播地址和控制端地址、恶意手机号、恶意短信、恶意邮件等。、建设手段、提升能力建议基础电信企业建设集中化的网络安全威胁情报共享平台,集中承载和管理网,,,,,实现从数据采集、威胁信息梳理、威胁知识更,(3),其过程可概括如下。,,,形成标准化格式的数据。HDFS,HBaseMySQL等数据库,实现海量数据存储。XSS、APK哈希值、Webshell、SQL,生成威胁信息库。图2网络安全威胁分类示意图图3基于大数据分析的网络安全情报处理架构,进一步生成威胁知识库。采用贝叶斯网络算法、神经网络预测等方法预测攻击趋势,报,并据此形成安全防护策略,辅助提升网络安全防护能力,并根据内部实际应用情况,索对外提供网络安全威胁情报服务。健全组织、完善机制当前基础电信企业已按相关要求成立了网络安全领导小组并下设办公室,由办公室负责统筹协调企业内部网络安全工作开展,各小组成员单位负责各自职能条线内的工作落实。参考国内外的优秀实践,结合基础电信企业网络安全工作模式,建议集中设置网络安全威胁情报统一归口管理部门,下设分级联动应急支撑团队,基于威胁情报共享平台,实现统一联动闭环管理,形成适用于基础电信企业的工作机制(如图4所示),机制的构建思路如下。由集团公司网络安全领导小组办公室作为网络安全威胁统一归口管理机构,负责对网络安全威胁的认定、预警、处置建议、反馈结果等进行统筹协调理。在办公室下设专门的网络安全应急支撑中心(CESC),在各专业条线及省公司设置网络安全应急支撑小组(CEST)CESC负责对威胁共享平台收集的威胁情报进行研判和认定,CEST批;此外,CESC,CEST负责按要求分类及时上报网络安全威胁信息,并按预警及处置要求及时开展威胁处置;各专业条线通过网络安全威胁情报共享平台实现信息共享。通过以上工作机制的应用,基础电信企业可形成一整套由威胁情报驱动的网络安全主动防护体系,网络安全威胁情报的集中归口管理、存储、分析,也为打破企业内部管理和信息壁垒,实现协同联动的快速反应和高效的信息共享提供了良好的基础。图4基础电信企业网络安全威胁情报工作机制、合作共享、协同联动建议基础电信企业根据国家标准和行业要求,研究制定基础电信企业网络威胁情报共享制度规范,明确网络安全威胁情报工作的统一标准、多方参与的协作方式、隐私保护及内部共享机制,推动企业网络安全威胁情报工作体系不断完善;同时,加强与上级单位和专业机构、安全厂商、互联网公司等的协同联动,积极探索建立内外部共享机制,为行业乃至国家网络安全能力提升贡献力量。5、总结,,国内还处于积极尝试和快速发展阶段,,实现以漏洞为中心的被动防护到以威胁情报为中心的主动防护理念的转变,积极探索建立和完善基础电信企业,,助力基础电信企业不断提升网络安全主动防护能力和水平。参