安全基线

安全基线

2020年1月17日

11:54

1       安全能力框架... 1

1.1       安全配置管理系统（SCM）... 4

2       SCM中的安全基线... 5

2.1      识别、发现能力建设... 6

2.1.1      定义... 7

2.1.2      范围... 7

2.1.3      角色、责任... 7

2.1.4      风险评估... 7

2.2      防护能力建设... 8

2.2.1      网络... 8

2.2.2      主机... 9

2.2.3      数据... 9

2.3      检测能力建设... 9

2.4      响应能力建设... 10

2.4.1       遏制/减轻... 10

2.4.2      补救... 11

2.5      恢复能力建设... 11

2.5.1      重建... 11

2.5.2      共享... 11

2.6      基线的管理... 11

2.6.1      基线的更新... 12

1   安全能力框架

在建立事件响应机制之前，必须存在基础的能力。这些基础能力用于保障数字资产/业务的可用性、保密性、完整性。

 

机密性、完整性和可用性的网络安全三位一体

安全基线=安全能力+安全能力上配置的安全策略。而安全基线是为业务系统生成的。

所以：业务系统的安全基线=为了满足业务可用性、保密性、完整性需求而使用的安全能力，以及安全能力上为业务系统配置的安全策略。

安全基线应该根据企业战略、业务属性生成，每个企业、每种不同类型的资产的基线都不一样。比如互联网公司业务，可能存储着大量的用户信息，开放给所有人访问，每天面对大量攻击尝试。工业控制系统控制诸如水坝、工厂和之类的东西，存储核心数据，是需要特定领域知识才能使用和攻击的专门系统。两者的安全基线肯定完全不一样。

 

但是安全基线的建立并不是完全没有章法可循。安全基线的模型都可以参考NIST 800-53、ISO 27001:27002，但后续讨论以 NIST 关键基础设施网络安全框架（ CSF） 为主，从识别、防护、检测、响应、恢复5个维度为业务系统建立安全“基线”。

1、identify：资产基本信息清点、确定资产需要符合的法规、供应链风险评估、资产风险评估等

2、protect：资产基础防护措施，防护责任划分，访问控制（网络、人员、账号），数据安全措施等

3、detect：网络、人员、恶意代码的持续检测等

4、response：事件响应流程、负责人员、COA等

5、recover：资产灾备、恢复方案、总结经验等

基线由业务团队和安全团队共同参与，其中有大量的内容和工作是依靠人力实行的，包括：资产清点、评估业务内部和外部的风险、确定业务影响的范围、人员职责和意识的培训等。但同时也是有很多可以通过信息化手段进行管理的内容，包括：资产清点、分类、识别并记录资产漏洞、建立访问控制策略、数据保护策略、建立完整性检查机制等。同时在下一步的“威胁分析”过程中同样需要读取基线内容的用以评估异常事件。所以需要建设一套可管理的基线配置系统让安全基线可管理、并可供其他系统分析使用。

需要注意的是，基线不应该是一成不变的，而是应该随着事件响应的流程持续修正。这块在事件响应中进一步研究。

1.1安全配置管理系统（SCM）

安全基线系统的建设方式不限于如下方式：

 

一、建立CMDB，将企业中已有的各种安全系统、软件中与基线相关的部分实时更新到CMDB中，由CMDB对资产的基线进行维护。威胁分析平台从CMDB中读取资产的安全基线。这种方式要求多个系统与CMDB的对接。

 

二、建立安全配置管理平台（SCM），通过SCM对内部的多种安全能力的基线进行统一配置和下发。威胁分析平台可以通过接口的方式读取SCM中的基线配置。这同样要求SCM与多个平台、系统对接。可以是一个全新的产品，也可以是新型SOC的一个模块。

从市场的角度来说，商业公司主推的应该是第二种，毕竟企业都希望能够在这一领域推出一款标准化的产品卖给所有用户。但是第二种方案在落地时显然面临着设备利旧的问题，要么用户忍痛割接，要么厂家忍痛集成。而部分具备较强能力的组织可能选择第一种方式，或者是更优的方案。

这两种方式都需要有大量的开发工作，但这种付出是值得的，只有通过建立安全基线才能牢固把握实体边界延伸到什么程度以及弱点在哪里，应该如何修复。

2       SCM中的安全基线

基线的建立需要在组织内部有一个强有力的团队，他们应该对组织内部的数字资产分布情况有足够的了解，具备分辨资产价值的能力，熟悉网络安全相关法律法规、对各种安全威胁的应对方案具备基本的认识。而这些往往是政府、企业内部安全参与者缺少的。所以整个网络安全框架在组织内部落地时，很有可能就像各种“中台战略”一样，认知不断改变，需求不断变化，建设者深陷其中，最终无法落地。这并非完全无解，但也肯定是早期落地最大的难点之一。

 

NIST风险管理框架 RMF

SCM中应该以资产为单位，建立安全基线规则库，并对基线的内容进行持续的监控，以防任何未经授权的私自改动。基线的内容按上文可以从IPDRR 5个维度入手。

2.1                 识别、发现能力建设

在以资产为核心建立安全基线之前，应该先问一些基础的问题：该业务不可用1个小时、1天会对组织造成什么样的影响？哪些机密数据会成为入侵者的目标？资产可用性或完整性出现问题时，我可以用哪些手段对其进行恢复？资产应该符合哪些国际、国内法规？哪些风险会导致攻击者进入到内部？资产是否设置了最小的访问控制？我能检测到网络和主机中哪些数据？内部人员对于安全事件处理流程和自身的责任是否有足够的认识？

在追寻这些问题的答案时，也是安全基线开始建立的时候。

NIST标准在识别能力上需要建设的内容包括：

• 识别组织内的物理和软件资产，以建立资产管理计划的基础
• 确定组织支持的业务环境，包括组织在供应链中的角色以及组织在关键基础设施领域的地位
• 识别组织内建立的网络安全策略以定义治理计划，并确定有关组织网络安全能力的法律和法规要求
• 识别资产漏洞，对内部和外部组织资源的威胁以及风险响应活动，作为组织风险评估的基础
• 确定组织的风险管理策略，包括建立风险容忍度
• 确定供应链风险管理策略，包括优先级，约束，风险容忍度和用于支持与管理供应链风险相关的风险决策的假设

来自 <https://www.nist.gov/cyberframework/online-learning/five-functions>

在SCM系统中，识别能力应该为资产建立的基线包括：

2.1.1    定义

1、即明确资产安全建设的目的，需要满足的法律法规、合规性要求，或为全面降低风险应该实施的安全措施。企业可以为了满足等保、PCI DSS等要求而建立一个全面而严格的基线，也可以仅仅为内部测试系统建立一个满足最低底线的基线。对于SCM而言，即该资产应该选用什么样的基线评估模板，以及应该定期执行哪些基线检测项。

2.1.2    范围

2、资产的核心（服务器、数据库、应用、机密数据等），所有在可用性、机密性、完整性遭到破坏后都会导致组织遭受损失的数字、物理资产都应该纳入保护范围。这些资产内容都应该录入CMDB或SCM的资产管理数据库中，以方便持续对其状态和风险进行监控。

2.1.3    角色、责任

3、业务/资产负责人、联系方式。在威胁分析发现安全事件、以及系统需要执行响应流程，需要人工进行干预时，需要能够在第一时间将事件信息和决策内容发送给该负责人。通知方式不限于短信、邮箱等。责任人也是业务基线计划的执行者，当上级对业务的合规性、安全性进行评估时，不合规的项目需要责任人进行整改。责任人应该是资产的一个属性，且信息应该及时补充到资产中的。

4、业务运维负责人。满足最小权限要求的运维访问控制，对人员访问员、登录账号、安装程序、命令执行等行为进行监测，从而发现不合规或异常事件。运维基线同样可以通过运维堡垒机同步到CMDB或SCM控制策略的方式实现。

2.1.4    风险评估

5、从洛马的杀伤链或mandiant攻击生命周期等攻击者的视角分析资产哪些弱点可能被利用，分析的结果也将在防护建设的阶段指导策略配置。在SCM中主要对资产的信息系统漏洞和系统基线配置进行维护，包括漏洞的发现、持续监控、以及分级。系统基线配置项内容建立和持续检测。当前有很多的系统可以对漏洞和基线配置项进行管理，这些脆弱性的信息将在威胁分析和事件响应阶段持续发光发热。

2.2                 防护能力建设

防护能力建设是保障资产安全的基础，也在事件响应阶段作为遏制事件的重要手段。

NIST定义的防护能力建设内容包括：

• 组织内部的身份管理和访问控制保护，包括物理和远程访问
• 通过意识和培训（包括基于角色的特权用户培训）增强组织内的员工的能力
• 建立与组织的风险策略一致的数据安全保护，以保护信息的机密性，完整性和可用性
• 实施信息保护流程和程序以维护和管理信息系统和资产的保护
• 通过维护保护组织资源，包括远程维护，活动
• 管理防护技术以确保系统和协助的安全性和弹性与组织策略，程序和协议一致

来自 <https://www.nist.gov/cyberframework/online-learning/five-functions>

而在IACD框架中也同样对组织应该具备的安全能力给出了指导：

 

Every Defender Brings Their Own Enterprise

Their own profile, priorities, capabilities, and risk tolerance

SCM中应该集中的防护基线应该包括：

2.2.1    网络

6、建立基础的网络访问控制，网络访问防止遵循最小权限原则，即仅设置允许访问的源，且不能开放整段的端口。网络访问控制需要注意的是不要遗漏访问路径，在互联网边界、VPN专线接入、东西向等可能访问到的位置全部设置访问控制。SCM中记录资产开放的访问源，并在事件响应中能够第一时间进行阻断。

7、流量分析，使用netflow、sflow等协议采集网络流的IP、端口、传输字节数、时长等元数据，在应对无恶意代码类的攻击，如0day漏洞利用、数据窃取、使用正版软件的远程控制等恶意行为时，则只能依靠IOC+行为分析来进行判断。SCM中应该为资产的网络访问行为建立基线。

8、IPS/IDS，基于签名或特征的网络威胁检测，能够识别出已知的攻击模式，在防护、响应和重建阶段均能发挥出重要的作用。SCM记录资产的IPS、IDS，记录检测事件，实现事件响应。

9、深度包检测，完整包检测和netflow搭配，使用netflow记录网络行为，对不符合基线的异常访问流量进行全内容分析。全内容分析需要解析出数据包的内容，并能根据协议、内容重新建立索引。全内容的检测

10、web内容防护，针对WEB应用 OWASP 攻击防护。

11、邮件内容过滤，对付钓鱼攻击的重要手段。

12、恶意代码检测，基于签名和沙箱的检测方式，查看恶意软件的行为，网络连接、进程信息、对系统关键配置的修改等。

2.2.2    主机

12、终端访问控制，同网络访问控制，对流量的放行和阻断不仅是威胁分析的重要输入，也是在事件响应阶段的重要遏制手段之一。SCM中应该建立所有终端的访问控制策略。

13、终端检测，检测所有对终端所作的更改，是对未知威胁分析的重要输入，且在事件响应阶段同样非常具有价值。

14、终端防恶意代码，对内存和磁盘中恶意软件、配置、工具进行检测。

15、应用白名单，白名单和黑名单的设立，不仅能减少系统出现事故的概率，同样也是在事件响应阶段遏制攻击的重要手段之一。

2.2.3    数据

16、建立数据保护的策略，不限于数据访问权限控制、敏感数据的加密、静态数据、动态数据泄露检测、数据篡改检测。

2.3                 检测能力建设

检测能力是生成内部情报的核心。只有采集到足够多的异常指标和行为才能生成高价值的内部情报，同时在获取外部的情报之后，威胁分析历史数据判断的受害资产，同样依赖检测到的指标和行为，所以对于一个需要部署检测能力的资产而言，其至少应该具备：

17、对网络流量检测能力

通过netflow流量分析了解网络活动、通过IDS特征检测出已知攻击模式、通过全内容检测保存不符合基线的异常数据流。

18、对主机事件检测能力，

主机内配置信息的检测、系统注册表等重要文件和目录的检测、内存和磁盘恶意代码检测、主机内应用列表和版本等信息的检测。终端的检测能力综合了杀毒、加固、SCAP检测等核心内容，是检测恶意软件、C2类入侵的重要手段。

19、敏感数据移动检测能力

通过DLP检测到敏感数据存储到低安全级别节点、或是通过邮件、FTP等在向外传输时，甚至是敏感数据所在的节点的异常大流量持续对外的加密数据传输等行为，都是高危险级的事件。SCM主要存储DLP的策略基线。

20、人员行为监控

人员登录系统、访问外部URL、发送邮件、邮件附件等检测的能力。可能来自多个系统之中的数据，包括用户行为控制、终端准入、邮件管理系统等。

部分与防护能力建设的重叠的，检测能力侧重的是所有检测到的网络流量、日志、数据包的保存和输出，作为威胁分析的核心输入。至于威胁分析系统如何将采集到的指标结合IOC生成威胁情报，则是后续主要讨论的内容。

2.4                 响应能力建设

响应是事件响应的遏制和补救能力。

NIST定义的响应能力建设包括：

• 确保事件发生期间和之后执行响应计划流程
• 在活动期间和活动结束后与利益相关者，执法机构和外部利益相关者进行沟通管理
• 进行分析以确保有效响应并支持包括法医分析在内的恢复活动，并确定事件的影响
• 进行缓解活动以防止事件扩展并解决事件
• 组织通过结合从当前和以前的检测/响应活动中汲取的教训来实施改进

来自 <https://www.nist.gov/cyberframework/online-learning/five-functions>

在自动化安全体系中，响应由事件响应模块负责，在安全事件确定后第一时间执行的playbook，通过接口（例如 openc2）调动防护能力对事件进行遏制。

2.4.1        遏制/减轻

21、遏制的临时举措包括：防火墙等禁止恶意IP远程访问资产、终端防护清除制定md5恶意程序、禁止系统主动对外的访问、边界阻断敏感数据对外的传输、断开有重大bug的系统的网络、异常用户踢下线等等。事件响应中再详细讨论。

2.4.2    补救

22、清除系统中残留后门、修补系统漏洞、修改管理员账号密码、还原系统、还原文件等。

2.5                 恢复能力建设

恢复阶段是事件的善后阶段。

NIST定义的恢复能力建设包括：

• 确保组织实施恢复计划流程和程序，以恢复受网络安全事件影响的系统和/或资产
• 根据汲取的经验教训和对现有策略的评估来实施改进
• 在网络安全事件恢复期间和之后，内部和外部通信得到协调

来自 <https://www.nist.gov/cyberframework/online-learning/five-functions>

响应处理之后不代表事件已经处理结束，后续的学习经验教训和重建工作才是长效的防护机制。这依赖人员参与的基线重建工作和可自动执行的情报共享工作。

2.5.1    重建

23、总结攻击者行为，重新建立新的安全基线，或是将事件响应过程的产物（IOC）更新到防护能力的特征库中。这块属于SCM的基线管理工作，通常需要人工参与决策。

2.5.2    共享

24、通过标准格式和共享协议与企业分部、外部组织、研究单位共享脱敏后的威胁情报。自动化体系中的威胁情报模块负责内部与外部的情报交流。

2.6                 基线的管理

建立安全基线工作最大的意义在于，将资产原本分布在各种能力中的安全策略统一管理到SCM中。不仅让管理者对资产的防护状态一目了然，也有助于威胁分析模块对资产的异常指标进行分析。事件响应模块在生成COA时，也能知道可以通过哪些手段遏制事件发展。

 

2.6.1    基线的更新

资产的安全基线不应该是一成不变，而是随着安全事件的发展而持续演进。

在定性的问题上当老的基线存在漏洞或无法再应对新型威胁时，在事件处理的重建阶段，就需要对资产的基线进行重建。例如为了应对一类新的严重威胁，不再开放某些端口等。

 

而部分时候，基线本身没有特别多的问题，在一些定量的问题上，需要将情报中的行为特征或MD5、恶意IP、恶意URL等加入到特征库中。列入某个外部组织更新了工具、战术等。

 

对于极限的更改同样需要进行控制，以免恶意篡改或未经审批的随意修改增加资产的风险。