文/楊望

安全事件響應(yīng)：自動(dòng)化引領(lǐng)未來

文/楊望

網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展為網(wǎng)絡(luò)安全管理人員提供了大量的工具和數(shù)據(jù)，可是每個(gè)組織內(nèi)部應(yīng)急響應(yīng)隊(duì)伍中的人員數(shù)量仍然有限。歐洲網(wǎng)絡(luò)與信息安全局（ENISA）在對(duì)45個(gè)國(guó)家、企業(yè)的應(yīng)急響應(yīng)組（CERT）進(jìn)行調(diào)查后指出，通過人力處理安全事件是沒有擴(kuò)展性的。一方面，每個(gè)組織每天新產(chǎn)生的事件數(shù)都遠(yuǎn)遠(yuǎn)超過了現(xiàn)有人員的處理能力，同時(shí)，如果讓安全管理人員每天超負(fù)荷地處理事件，會(huì)讓管理人員產(chǎn)生懈怠的情緒并可能會(huì)忽視真正需要處理的事件。因此通過自動(dòng)化工具自動(dòng)或半自動(dòng)地對(duì)安全事件進(jìn)行響應(yīng)和處理是進(jìn)行安全響應(yīng)的必要手段。

自動(dòng)響應(yīng)技術(shù)的發(fā)展

目前一般的CERT或SRC都集成自動(dòng)化的信息富化（enrichment)工具。信息富化已成為目前安全響應(yīng)中必備的一步。目前的富化一般為通過自建或第三方的地址、域名信息庫(kù)，獲取安全事件中的IP地址、域名的歸屬信息，作為進(jìn)一步響應(yīng)的判斷依據(jù)。

根據(jù)CERT組織性質(zhì)的不同，現(xiàn)有安全事件自動(dòng)響應(yīng)方法可以分為兩類：自動(dòng)通知／分發(fā)和自動(dòng)攔截。如果是運(yùn)營(yíng)商或國(guó)家的CERT，在對(duì)安全事件數(shù)據(jù)進(jìn)行富化之后，一般需要將事件分析進(jìn)一步通知或分發(fā)給安全事件發(fā)生的單位，如由芬蘭、比利時(shí)等國(guó)的國(guó)家CERT（CERT.FI, CERT.BE, CERT.EE)開發(fā)的工具AbuseHelper，如圖1所示。該工具基于IRC協(xié)議的框架和python語(yǔ)言搭建了一個(gè)可擴(kuò)展的事件分發(fā)框架。不同來源的安全事件被輸入IRC的頻道（channel），每個(gè)頻道由對(duì)應(yīng)的程序（bot）完成不同的任務(wù)，如IP／域名歸屬信息獲取，輸出到數(shù)據(jù)庫(kù)，發(fā)送郵件等。

對(duì)于一個(gè)園區(qū)網(wǎng)或組織內(nèi)部的CERT而言，安全事件的自動(dòng)響應(yīng)主要手段為對(duì)黑名單數(shù)據(jù)的自動(dòng)攔截。中國(guó)科學(xué)技術(shù)大學(xué)和東北大學(xué)等開發(fā)的基于BGP的黑名單自動(dòng)分發(fā)系統(tǒng)，對(duì)在邊界網(wǎng)關(guān)、流控、蜜罐等設(shè)備上發(fā)現(xiàn)的掃描、垃圾郵件、惡意網(wǎng)站數(shù)據(jù)在邊界路由或防火墻上進(jìn)行自動(dòng)部署。為防止誤報(bào)引發(fā)的傷害，一般進(jìn)行自動(dòng)攔截的安全事件需要是置信度很高的事件。目前主要的安全事件類型對(duì)應(yīng)于掃描和垃圾郵件，以及高質(zhì)量的第三方安全情報(bào)提供的黑名單數(shù)據(jù)。

圖1 AbuseHelper框架

圖2 FRESCO框架

這兩類自動(dòng)響應(yīng)技術(shù)幫助安全管理人員減輕了大量的系統(tǒng)配置和人力工作，但目前對(duì)于置信度沒有達(dá)到自動(dòng)判斷，或需要進(jìn)行跟蹤調(diào)查的安全事件，仍缺乏有效的自動(dòng)化工具。在對(duì)應(yīng)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)PDCERF模型中，目前的自動(dòng)化技術(shù)集中于安全事情的檢測(cè)（D）和抑制（C）部分，而在根除(E)、恢復(fù)(R)和跟蹤(F)方面，缺乏自動(dòng)化技術(shù)。盡管我們已經(jīng)擁有了豐富的安全軟件和工具，但兩個(gè)原因讓我們難以協(xié)同不同的工具實(shí)現(xiàn)自動(dòng)化的響應(yīng)：一是傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)下，數(shù)據(jù)平面和路由平面分離，網(wǎng)絡(luò)流量難以進(jìn)行細(xì)粒度的策略控制，安全工具通常只能對(duì)監(jiān)測(cè)點(diǎn)的流量數(shù)據(jù)實(shí)現(xiàn)統(tǒng)一的處理，不能根據(jù)需求，對(duì)不同的地址網(wǎng)段施加不同的安全監(jiān)測(cè)功能；二是每種安全工具都有自己的數(shù)據(jù)字段和語(yǔ)義，目前安全工具之間的語(yǔ)義協(xié)同仍是一個(gè)難點(diǎn)。目前在語(yǔ)義協(xié)同方面，已有不同組織開發(fā)的IODEF、openIOC，STIX等多種標(biāo)準(zhǔn)試圖彌合不同設(shè)備和工具間的語(yǔ)義交互，本文暫不討論其細(xì)節(jié)，后文將集中討論SDN技術(shù)如何解決網(wǎng)絡(luò)流量的細(xì)粒度策略控制問題。

SDN應(yīng)用于應(yīng)急響應(yīng)

SDN作為一種新興的網(wǎng)絡(luò)技術(shù)，這幾年在網(wǎng)絡(luò)路由交換領(lǐng)域，特別是在數(shù)據(jù)中心網(wǎng)絡(luò)和數(shù)據(jù)中心WAN網(wǎng)中得到了有效的應(yīng)用，谷歌公司的B4方案成功地最大化谷歌全球數(shù)據(jù)中心的互聯(lián)信道的使用率。在網(wǎng)絡(luò)安全方面，SDN技術(shù)也被設(shè)計(jì)應(yīng)用實(shí)現(xiàn)分流和DDoS防御等安全功能。SDN技術(shù)的優(yōu)點(diǎn)不僅僅在于可以實(shí)現(xiàn)具體某一類的安全功能，而且在于其北向的應(yīng)用編程接口為自動(dòng)化的程序控制流量提供了統(tǒng)一的接口，同時(shí)SDN作為通用技術(shù)，可以通過流表和應(yīng)用層邏輯實(shí)現(xiàn)細(xì)粒度的策略控制，即使是同一個(gè)目標(biāo)地址的流量，可以根據(jù)安全的需求，實(shí)施不同的流量控制策略。如針對(duì)一個(gè)Web服務(wù)器，對(duì)于其Web服務(wù)端口的流量，可以轉(zhuǎn)發(fā)至WAF等安全防御軟件進(jìn)行過濾，對(duì)于非Web服務(wù)端口的攻擊流量，可以轉(zhuǎn)發(fā)至蜜罐服務(wù)器進(jìn)行攻擊行為的捕獲，同時(shí)還可以鏡像感興趣的流量至流量日志服務(wù)器進(jìn)行記錄。但如果由人力進(jìn)行這些不同安全策略的配置，則可能會(huì)帶來差錯(cuò)和配置效率的問題，美國(guó)德州農(nóng)工大學(xué)的顧國(guó)飛教授將其稱為“威脅響應(yīng)策略轉(zhuǎn)換的挑戰(zhàn)”（Threat Response Transition Challenge）。如果可以將復(fù)雜的響應(yīng)措施通過SDN統(tǒng)一的流表操作接口實(shí)現(xiàn)可編程的自動(dòng)化工作，則可以進(jìn)一步將自動(dòng)響應(yīng)技術(shù)引入到應(yīng)急響應(yīng)的根除、恢復(fù)、跟蹤等階段，并為檢測(cè)和抑制階段提供更細(xì)粒度的操作支持。在這方面有代表性的工作包括顧國(guó)飛教授的FRESCO和賓州大學(xué)John Sonchack設(shè)計(jì)的OFX。FRESCO是一種基于SDN的模塊化安全服務(wù)編程接口，在改進(jìn)的NOX北向接口基礎(chǔ)上，通過對(duì)安全服務(wù)進(jìn)行抽象，設(shè)計(jì)并實(shí)現(xiàn)了16種服務(wù)模塊，以及基本的編程語(yǔ)言，讓用戶可以在該編程接口基礎(chǔ)上實(shí)現(xiàn)掃描檢測(cè)、Botnet檢測(cè)、DDoS防御等多種安全檢測(cè)功能，并通過程序?qū)⒉煌墓δ芙M合起來，如圖2所示。OFX則提出了安全服務(wù)中間件（middlebox）的想法，將安全功能實(shí)現(xiàn)在SDN交換設(shè)備上，利用交換設(shè)備的CPU就近實(shí)現(xiàn)安全功能，解決報(bào)文在北向應(yīng)用進(jìn)行處理帶來的效率問題。

東南大學(xué)的團(tuán)隊(duì)也借鑒了以上幾篇文獻(xiàn)的思想，設(shè)計(jì)了Hydra系統(tǒng)，但并沒有采用直接在應(yīng)用層或設(shè)備上實(shí)現(xiàn)安全功能的方法，而采用了將安全應(yīng)用功能解構(gòu)成北向控制的應(yīng)用層和數(shù)據(jù)平面的安全服務(wù)層，來解決SDN安全響應(yīng)框架下面臨的性能問題。

綜上所述，基礎(chǔ)設(shè)施信息，安全威脅情報(bào)，以及SDN等新技術(shù)為應(yīng)急響應(yīng)的自動(dòng)化提供了支撐，但為了完整支持安全事件應(yīng)急響應(yīng)PDCERF全過程的自動(dòng)或半自動(dòng)響應(yīng)，需要有全面的自動(dòng)響應(yīng)套件支持，包括：

1. 安全事件報(bào)告的自動(dòng)生成。將監(jiān)測(cè)系統(tǒng)或第三方的安全威脅情報(bào)獲得的事件，處理成符合應(yīng)急響應(yīng)格式要求的文檔，包括進(jìn)行信息的富化，生成事件的摘要，代替人工的整理工作。

2. 安全事件的自動(dòng)響應(yīng)跟蹤。在SDN技術(shù)的支持下，提供智能化的程序邏輯接口，用戶可以根據(jù)歷史經(jīng)驗(yàn)設(shè)計(jì)響應(yīng)邏輯，對(duì)安全事件自動(dòng)調(diào)用不同的安全功能進(jìn)行響應(yīng)，并可以跟蹤響應(yīng)過程中的反饋，對(duì)響應(yīng)過程進(jìn)行調(diào)整。

3.應(yīng)急響應(yīng)人員的自動(dòng)通知。能夠以郵件、短信、微信等不同方式以盡可能快速和可達(dá)的方式將事故發(fā)生的情況通知給相關(guān)的應(yīng)急響應(yīng)人員。

4. 安全響應(yīng)知識(shí)的自動(dòng)整理。在安全事故處理完畢后，可以集成和關(guān)聯(lián)在響應(yīng)過程中產(chǎn)生的結(jié)構(gòu)化（警報(bào)、日志數(shù)據(jù)，響應(yīng)記錄等）和非結(jié)構(gòu)化數(shù)據(jù)（如溝通郵件等），為安全人員總結(jié)和優(yōu)化未來響應(yīng)策略提供支持。

目前無法希望能出現(xiàn)完全的自動(dòng)響應(yīng)系統(tǒng)，可預(yù)期的方案是系統(tǒng)在進(jìn)行應(yīng)急響應(yīng)時(shí)可以根據(jù)預(yù)配置的策略，靈活地在人工和自動(dòng)響應(yīng)之間進(jìn)行切換，并為需要人工參與的過程提供足夠的工具支持。

（責(zé)編：王左利）

（作者單位為東南大學(xué)計(jì)算機(jī)學(xué)院）