系列文章
本系列文章共分为5篇,本文接上一篇文章,如欲了解前情,可点击以下链接进行回顾
6.3 检测
6.3.1 信息收集
信息收集是检测阶段最重要的一个步骤,结合组织部署的各类安全产品,为检测与分析生成、组织和存储数据,因此,在这个阶段采取威胁定义、量化风险、识别数据源和焦点缩小等措施塑造一个组织执行有效检测和分析的能力。
威胁定义
为了实现以“威胁”为中心的安全,组织必须有一定的能力来定义面临的具体威胁,定义威胁的原则是:是否对组织资产机密性、完整性和可用性有负面的影响。在进行威胁定义时,需要是识别威胁的来源,动机、能力和频率是威胁的属性,威胁来源的不同决定所涉及威胁类别的不同。威胁来源可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对业务或信息系统直接或间接的攻击,也可能是偶发的、或蓄意的事件。
根据GB/T 20984-2007 《信息安全技术 信息安全风险评估规》中定义的威胁来源,可以根据其表现形式将威胁主要定义为以下几类,形成威胁清单:
种类 | 描述 | 威胁子类 |
软硬件故障 | 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题。 | 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等。 |
支撑系统故障 | 由于信息系统依托的第三方平台或者接口相关的系统出现问题。 | 第三方平台故障、第三方接口故障灯。 |
物理环境影响 | 对信息系统正常运行造成影响的物理环境问题和自然灾害。 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等。 |
无作为或操作失误 | 应该执行而没有执行相应的操作,或无意执行了错误的操作。 | 维护错误、操作失误等。 |
管理不到位 | 安全管理无法落实或不到位,从而破坏信息系统正常有序运行。 | 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等。 |
恶意代码 | 故意在计算机系统上执行恶意任务的程序代码。 | 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等。 |
越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为。 | 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等。 |
网络攻击 | 利用工具和技术通过网络对信息系统进行攻击和入侵。 | 网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等。 |
物理攻击 | 通过物理的接触造成对软件、硬件、数据的破坏。 | 物理接触、物理破坏、盗窃等。 |
泄密 | 信息泄露给不应了解的他人。 | 内部信息泄露、外部信息泄露等。 |
篡改 | 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用。 | 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等。 |
抵赖 | 不承认收到的信息和所作的操作和交易。 | 原发抵赖、接收抵赖、第三方抵赖等。 |
供应链问题 | 由于信息系统开发商或者支撑的整个供应链出现问题。 | 供应商问题、第三方运维问题等。 |
网络流量不可控 | 由于信息系统部署在云计算平台或者托管在第三方机房,导致系统运行或者对外服务中产生的流量被获取,进而导致部分敏感数据泄露。 | 数据外泄等。 |
过度依赖 | 由于过度依赖开发商或者运维团队,导致业务系统变更或者运行,对服务商过度依赖。 | 开发商过度依赖、运维服务商过度依赖、云服务商过度依赖等。 |
数据残留 | 云计算平台数据无法验证是否删除,物联网相关智能电表、智能家电等数据存在设备中或者服务提供商处。 | 数据残留。 |
事件管控能力不足 | 安全事件的感知能力不足,安全事件发生后的响应不及时、不到位。 | 感知能力不足、响应能力不足、技术支撑缺乏、缺少专业支持。 |
人员安全失控 | 违背人员的可用性、人员误用,非法处理数据,安全意识不足,因好奇、自负、情报等原因产生的安全问题。 | 专业人员缺乏、不合适的招聘、安全培训缺乏、违规使用设备、安全意识不足、信息贿赂、输入伪造或措施数据、窃听、监视机制不完善、网络媒体滥用。 |
隐私保护不当 | 个人用户信息收集后,保护措施不到位,数据保护算法不透明,已被黑客攻破。 | 保护措施缺乏、无效,数据保护算法不当。 |
量化威胁
一旦被确定潜在的威胁清单,安全运营团队需要将这些威胁进行优先级排序。实现排序的一种方法是结合威胁的动机、能力和频率,确定威胁发生的可能性等级。
威胁动机:根据业务在组织职能和发展战略中的定位、业务重要性和业务的经济价值,将威胁动机划分为五个不同的等级。
威胁能力:根据威胁来源的威胁能力,将威胁能力赋值划分为五个不同的等级。
威胁频率:需要综合考虑以往安全事件报告中出现过的威胁及其频率的统计;实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;实际环境中的监测数据发现的威胁极其频率的统计;近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
威胁可能性等级可结合威胁发生的动机、能力、频率进行划分。
等级 | 标识 | 定义 |
5 | 很高 | 威胁成功发生的可能性极大 |
4 | 高 | 威胁成功发生的可能性较大 |
3 | 中等 | 威胁成功发生的可能性较小 |
2 | 低 | 威胁成功发生的可能性极小 |
1 | 很低 | 威胁成功发生的可能性几乎为零 |
识别数据源
根据威胁可能性清单,对组织中的各类资产所提供的数据进行识别,包括全包捕获数据、会话数据、统计数据、包字符串数据、日志数据、告警数据等。
全包捕获数据:提供了两个端点之间的完全数据包统计。虽然全包捕获数据容量由于它的完整度可以变得十分庞大,但它的高粒度也为内容分析工作提供了非常有价值的信息。全包捕获数据可有组织部署的流量检测类安全产品提供。
会话数据:是两个网络设备之间行为的汇总,也称为会话或流。这个数据是最灵活、最有用的形式之一,而会话数据没有提供像全包捕获数据那么详细的信息,但它的小尺度使其可以保留更长的事件,在进行回顾性分析时,这是非常有价值的。会话数据可有组织部署的流量检测类安全产品提供。
统计数据:统计数据是对其他类型数据的组织、分析、解释和演示,可以采取很多不同形式,如统计值支持从一个标准偏差中检查异常,或者计算数据值用于确定两个实体之间随着事件推移的正负关系。
包字符串数据:是从全包捕获数据中导出的,以一种介于全包捕获数据和会话数据之间的中件数据格式存在。这种数据格式包括从指定协议报头中提取的明文字符串。其结果是,包字符串数据提供了粒度更接近于全包捕获数据的数据类型,同时保持着更容易管理的容量,并且允许增加数据保留周期。
日志数据:指由设备、系统或应用程序生成的原始日志文件,可以包括:应用程序日志、网络设备日志、安全产品日志、操作系统日志、中间件日志、数据库日志等。日志数据可由组织部署SIME/SOC/态势感知等产品收集并存储。
告警日志:当一个检测工具在任何被配置检查的数据中找出异常,其生成的通知成为警报数据。这个数据通常包含告警的说明,连同一个显示异常的数据指针。事件分析通常是基于告警数据的生成。告警数据由组织部署的各类安全产品产生。
结合威胁可能性清单和资产清单,对应识别的数据源,形成威胁与数据源对应列表,例如当文件服务器被入侵场景,当定义这个威胁时,应首先确定了这台服务器的架构、它所处的网络、谁有权限访问它、数据经它传入和流出的途径。根据这些信息,可以检查基于网络和基于主机的两个数据源,这个列表最终可能如下:
威胁名称 | 威胁等级 | 数据源类型 | 数据源 |
文件服务器被入侵 | 高 | 基于网络 | 文件服务器所在VLAN-完整的数据包数据捕获 文件服务器所在VLAN-会话数据 文件服务器所在VLAN-吞吐量统计数据 安全产品-流量监测产品告警数据 安全产品-防火墙日志数据 |
基于主机 | 文件服务器-操作系统的事件日志数据 文件服务器-EDR的告警数据 |
焦点缩小
焦点缩小包括单独审查每个数据源,以了解其价值。在这个过程中,需要弄清哪些数据源在事件调查中会被频繁管理或引用。基于上诉文件服务器被场景,进一步细化结果如下:
威胁名称 | 威胁等级 | 数据源类型 | 数据源 | 数据源聚焦 |
文件服务器被入侵 | 高 | 基于网络 | 文件服务器所在VLAN-完整的数据包数据捕获 | 进入或流出文件服务器的所有端口和协议 所有流出VLAN的SMB流量 |
文件服务器所在VLAN-会话数据 |