国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

面向SOAR的云邊端安全消息總線

2022-02-21 01:38崔書方付德志郭著松
通信電源技術(shù) 2022年22期
關(guān)鍵詞:安全事件總線消息

崔書方,付德志,徐 佳,郭著松

(武漢問道信息技術(shù)有限公司,湖北 武漢 430040)

0 引 言

近年來,網(wǎng)絡(luò)安全越來越重要,企業(yè)網(wǎng)絡(luò)安全運營面臨著巨大的壓力,一方面存在安全人員不足的問題,另一方面對安全運營的專業(yè)能力要求越來越高,亟需自動化系統(tǒng)來提升安全運營能力。

安全編排自動化與響應(yīng)(Security Orchestration and Automation Response,SOAR)技術(shù)可以通過對安全事件進行智能分析、自動編排、有效聯(lián)動整合安全工具的方式,實現(xiàn)快速預(yù)警和自動化響應(yīng),可以降低修復(fù)平均時間(Mean Time To Repair,MTTR),提高安全運營生產(chǎn)力,指導(dǎo)企業(yè)建設(shè)安全防護體系[1]。

當前SOAR技術(shù)的研究側(cè)重于安全攻擊的封鎖阻斷、預(yù)警響應(yīng)與處置過程管控等,對管控接口和消息傳輸總線研究尚少[2-4]。OHMORI M提出依據(jù)專用運維事件庫對接收的運維事件進行分類與存儲,然后由SOAR引擎實現(xiàn)事件研判與自動化響應(yīng)[5]。NETZER G 提出入侵和攻擊模擬(Breach and Attack Simulation,BAS)與安全信息與事件管理(Security Information Event Management,SIEM)、SOAR的集成,安全運營中心(Security Operations Center,SOC)團隊能夠不斷評估其安全控制的有效性,并通過實時、準確的指標來改善企業(yè)的安全狀況[6]。歐陽達誠提出通過SOAR、威脅情報、機器學習等技術(shù)實現(xiàn)安全事件的自動閉環(huán)與持續(xù)威脅對抗,實現(xiàn)安全運營中心自動響應(yīng)閉環(huán)、持續(xù)安全運營的目標[7]。王妍等人提出通過SOAR構(gòu)建多源數(shù)據(jù)融合管理能力和生態(tài)內(nèi)產(chǎn)品間協(xié)同能力,解決長期以來運維所面臨的數(shù)據(jù)碎片化、事件處置效率低下等問題,實現(xiàn)網(wǎng)絡(luò)內(nèi)安全事件的綜合分析和快速高效的自動化響應(yīng)、處置,提升國產(chǎn)產(chǎn)品生態(tài)的網(wǎng)絡(luò)安全運維能力[8]。許暖等人提出結(jié)合SOAR技術(shù)與分級分類管理的思想,共同打造自動化、智能化的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力[9]。

隨著數(shù)字化轉(zhuǎn)型的加速,云計算、邊緣計算和工控智能終端得到廣泛應(yīng)用,工業(yè)互聯(lián)網(wǎng)安全架構(gòu)的改變和新技術(shù)的應(yīng)用不斷引入新的安全風險,工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS)面臨著更加嚴峻的安全威脅。SOAR技術(shù)在工業(yè)領(lǐng)域面向異構(gòu)企業(yè)、異構(gòu)安全設(shè)備,通過構(gòu)建統(tǒng)一化、標準化的安全接口體系,打破各個安全企業(yè)、安全設(shè)備的孤島形態(tài),建立可信任的安全聯(lián)動體系[10,11]。SOAR作為一個全新的安全運營工具部署到網(wǎng)絡(luò)安全體系時,需要兼容系統(tǒng)中已經(jīng)部署的海量安全設(shè)備、網(wǎng)絡(luò)設(shè)備、終端檢測響應(yīng)(Endpoint Dextection and Response,EDR)系統(tǒng),同時與客戶的業(yè)務(wù)系統(tǒng)對接,實現(xiàn)對客戶業(yè)務(wù)的管控響應(yīng)閉環(huán)[12]。趙粵征等人提出構(gòu)建圍繞SOAR為主體的安全運營生態(tài)體系,使用OpenC2作為設(shè)備管控接口標準來提供一套標準化安全控制的通信指令,以便和周邊安全設(shè)備建立合作生態(tài)體系[13]。采用OpenC2接口規(guī)范實現(xiàn)面向各類安全設(shè)備在管控層面上的互聯(lián)互通,但海量改造已經(jīng)部署在邊緣計算和工廠控制現(xiàn)場安全設(shè)備的標準接口不太現(xiàn)實,為了實現(xiàn)存量安全設(shè)備的管控接口,需要確保SOAR解決方案支持面向不同設(shè)備的兼容性接口擴展能力。

對于煙草行業(yè),建設(shè)工業(yè)控制系統(tǒng)的安全保障體系時,可以將煙草行業(yè)工業(yè)控制網(wǎng)分為管理協(xié)同層、生產(chǎn)執(zhí)行層和工業(yè)控制層,形成云計算、邊緣計算以及控制端3層架構(gòu)[14]。網(wǎng)絡(luò)安全工作煩瑣,不同設(shè)備事件告警信息存在差異,響應(yīng)處置策略格式不盡相同,對跨云、邊緣以及智能終端的網(wǎng)絡(luò)通信消息總線要求較高。面向工業(yè)企業(yè)復(fù)雜網(wǎng)絡(luò),建設(shè)一套新型防御響應(yīng)體系和貫穿云-邊-端(Cloud-Edge-Device,CED)的安全消息總線,實現(xiàn)網(wǎng)絡(luò)安全消息傳遞服務(wù)和安全數(shù)據(jù)平臺化管理,以滿足高效自適應(yīng)SOAR安全策略的需求,達到安全事件編排自動化、應(yīng)急響應(yīng)自動化的目的。

1 安全消息總線結(jié)構(gòu)

1.1 總體結(jié)構(gòu)設(shè)計

建設(shè)滿足等級保護2.0要求的安全管理中心通常需要通過接入多源日志關(guān)聯(lián)威脅知識庫,接入安全分析模型精確識別攻擊事件,使用多種預(yù)判和研判相結(jié)合的方式明確安全事件,進一步實現(xiàn)確定性事件的自動處置和可疑事件的人工運維,從而快速準確地處置安全事件,實現(xiàn)安全運營的閉環(huán)管理[15]。使用SOAR技術(shù)采集來源不同的日志數(shù)據(jù),需要一條滿足安全快速響應(yīng)和協(xié)同多種網(wǎng)絡(luò)資源的消息總線。工業(yè)企業(yè)中經(jīng)常涉及到云計算、邊緣計算以及現(xiàn)場終端等安全資源,需要建設(shè)貫穿云邊端的安全消息總線,通過安全消息總線來構(gòu)建插件化的安全工具集,深度結(jié)合安全業(yè)務(wù)流,通過自動化編排進行安全事件發(fā)現(xiàn)、研判、響應(yīng)及處置等閉環(huán)管理。

在工業(yè)企業(yè)中,往往需要使用CED協(xié)同的系統(tǒng)架構(gòu),將高計算量的任務(wù)放到整個企業(yè)的云平臺上執(zhí)行,利用云上豐富的計算、網(wǎng)絡(luò)和存儲資源對邊緣控制器進行彈性拓展。高實時性的工控任務(wù)在工廠車間的邊緣側(cè)本地執(zhí)行,避免通信過程的高時延問題,提高智能工廠服務(wù)響應(yīng)的快速性和資源利用率。在各生產(chǎn)線上,需要利用終端上位機和硬件設(shè)備接口(Hardware Device Interface,HDI)實現(xiàn)現(xiàn)場控制。針對CED應(yīng)用場景,設(shè)計安全消息總線,提供一套標準化安全控制的通信指令,形成標準化接口與協(xié)議,方便SOAR安全策略的統(tǒng)一發(fā)布和管理,達到對安全風險進行持續(xù)不間斷的監(jiān)測、預(yù)警、響應(yīng)及處置。

安全消息總線是各個安全功能模塊的數(shù)據(jù)鏈路,能夠采集來源不同的日志數(shù)據(jù)。SOAR根據(jù)實際情況自定義行動劇本,下發(fā)給相應(yīng)安全功能模塊進行執(zhí)行。安全消息總線可以基于平行關(guān)系劃分出若干個獨立運行的總線,又可以基于主從關(guān)系建立由點到面的不同網(wǎng)絡(luò)區(qū)域總線架構(gòu),如圖1所示。安全消息總線既傳遞安全日志信息、安全事件告警信息等全部類型安全數(shù)據(jù),也傳遞控制指令和SOAR腳本。

圖1 安全消息總線架構(gòu)

1.2 通信服務(wù)協(xié)議

在CED場景協(xié)同模式下,網(wǎng)絡(luò)安全管控將涉及到本地設(shè)備、邊緣設(shè)備和云上平臺的通信過程?,F(xiàn)場設(shè)備的安全信息需要定時上報至云端,管理中心和各節(jié)點需要保持長連接狀態(tài),以減少建立連接過程的資源消耗。受限于現(xiàn)場環(huán)境,各個節(jié)點所處的網(wǎng)絡(luò)環(huán)境可能相差較大,需要滿足弱網(wǎng)絡(luò)或不穩(wěn)定網(wǎng)絡(luò)環(huán)境的通信需求。

目前,業(yè)界常用的通信協(xié)議主要有超文本傳輸協(xié)議(Hyper Text Transfer Protocol,HTTP)、受限應(yīng)用協(xié)議(Constrained Application Protocol,CoAP)、消息隊列遙測傳輸(Message Queuing Telemetry Transport,MQTT)以及可擴展通信和表示協(xié)議(Extensible Messaging and Presence Protocol,XMPP)等,各協(xié)議的特性如表1所示。

表1 不同通信協(xié)議的特性

HTTP不支持訂閱控制,在CED1對多或多對多場景下無法直接區(qū)分來自不同設(shè)備的請求,只能通過服務(wù)端后臺程序?qū)崿F(xiàn),帶來額外的傳輸、計算和維護開銷。CoAP協(xié)議是基于用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol,UDP)設(shè)計,在網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,NAT)環(huán)境下每次數(shù)據(jù)傳輸過程都需要采用額外的穿透手段。XMPP協(xié)議傳輸時,其數(shù)據(jù)包內(nèi)容實際上是1個XML文件。MQTT協(xié)議層級主題訂閱方式與CED架構(gòu)中的通信特性契合,安全消息總線選用MQTT作為通信協(xié)議。在安全消息總線中,MQTT以主-從模式運行,主棧是1個代理服務(wù)器Broker,從棧是各個安全設(shè)備節(jié)點Client,各個點Client僅與管理服務(wù)器Broker進行通信。MQTT協(xié)議在消息推送場景被廣泛應(yīng)用,但在許多即時消息場景下需要大量復(fù)雜的拓展和開發(fā)[16]。

2 安全消息總線功能方案

安全消息總線通過管理服務(wù)器Broker和節(jié)點Client將整個安全管理中心和CED節(jié)點連接起來,負責對所有節(jié)點的接入進行生命周期管理,對SIEM的安全數(shù)據(jù)進行匯集上報傳輸和對SOAR下發(fā)的腳本指令進行實時性優(yōu)先通信下達。

2.1 CED節(jié)點安全接入機制

為防止惡意冒充CED節(jié)點Client接入安全消息總線對SOAR信息安全和功能造成威脅,設(shè)計了一種具有設(shè)備級身份認證的安全接入機制。CED節(jié)點Client接入安全消息總線時的流程如圖2所示。

圖2 節(jié)點Client接入流程

第1步,在安全管理中心為即將接入的云邊端節(jié)點設(shè)備進行注冊,為云邊端設(shè)備生成1個唯一標識符Client Key;第2步,將Client Key復(fù)制到CED節(jié)點設(shè)備,修改節(jié)點Client配置文件;第3步,各節(jié)點Client啟動連接,嘗試登陸管理Broker時會發(fā)送1條確認消息,其中包括自身的硬件信息,管理Broker收到該確認消息后便認為邊緣節(jié)點接入成功。

CED通信過程中,管理Broker將定時校驗各節(jié)點Client的節(jié)點名稱、Client Key以及硬件地址的綁定關(guān)系。一旦其中某一項與數(shù)據(jù)庫中的記錄不符,則認為有惡意節(jié)點利用此節(jié)點的用戶名和密碼登錄Broker,管理Broker隨即主動斷開此節(jié)點Client的連接。

2.2 CED節(jié)點在線狀態(tài)管理

在CED協(xié)同場景下,各個節(jié)點計算資源、網(wǎng)絡(luò)環(huán)境相差可能較大,部分邊緣和終端節(jié)點會存在于弱網(wǎng)絡(luò)或不穩(wěn)定網(wǎng)絡(luò)環(huán)境中,其安全通信任務(wù)會在MQTT客戶端Client的緩存中不斷累積,極端情況下可能會導(dǎo)致任務(wù)丟失。為此,在節(jié)點Client之間需設(shè)置心跳管理。各個節(jié)點接入管理節(jié)點后,周期性發(fā)送心跳信息,管理節(jié)點根據(jù)一定時間內(nèi)各個節(jié)點的心跳情況判斷其連接狀態(tài),記錄節(jié)點存活時間,對節(jié)點上下線狀態(tài)進行管理。若節(jié)點出現(xiàn)意外斷開,如斷電、斷網(wǎng)等情況,通過MQTT協(xié)議的遺囑模式,由管理中心與云邊端節(jié)點Client2側(cè)約定遺囑內(nèi)容,及時獲取節(jié)點意外下線信息并發(fā)出警報。

2.3 CED離線安全數(shù)據(jù)暫存

在工業(yè)企業(yè),邊緣和終端節(jié)點設(shè)備部署環(huán)境相對復(fù)雜,會出現(xiàn)與云端網(wǎng)絡(luò)失去連接的可能。針對臨時斷網(wǎng)的情況,需要設(shè)計數(shù)據(jù)傳輸暫存策略,以便后續(xù)將數(shù)據(jù)補傳至云端。上報數(shù)據(jù)緩存過程如圖3所示。

圖3 上報數(shù)據(jù)緩存過程

上報進程啟動后,檢查網(wǎng)絡(luò)是否可用。如果不可用,等待6 s后繼續(xù)檢查網(wǎng)絡(luò)是否可用。一旦網(wǎng)絡(luò)可用,就從數(shù)據(jù)庫中提取數(shù)據(jù)進行上報。為了節(jié)省邊緣和終端節(jié)點的資源,將待上報數(shù)據(jù)暫存在輕量級的SQLite數(shù)據(jù)庫中。上報進程在收到管理節(jié)點發(fā)來的確認應(yīng)答后,將該條數(shù)據(jù)從緩存中刪除。如果連續(xù)等待3次未收到管理節(jié)點的確認消息,則認為本次上報失敗,數(shù)據(jù)繼續(xù)暫存。

2.4 實時性優(yōu)先SOAR協(xié)同方案

SOAR執(zhí)行playbook劇本時,多個步驟間的任務(wù)往往需要協(xié)同執(zhí)行,要對全局安全通信任務(wù)進行調(diào)度。制造企業(yè)CED節(jié)點和管理節(jié)點往往距離較遠,通信調(diào)度存在時延大、時間代價大等問題。基于此,設(shè)計1種CED半?yún)f(xié)同決策算法,合理分配云邊端側(cè)各節(jié)點的運算、存儲及通信資源,對全局所有的執(zhí)行任務(wù)進行安全調(diào)度,以降低各項安全任務(wù)的平均執(zhí)行時長。

云邊端側(cè)節(jié)點對安全任務(wù)逐一評估任務(wù)執(zhí)行時長,根據(jù)管理節(jié)點評估的執(zhí)行時間,選取更優(yōu)的協(xié)同策略。首先對待分配安全任務(wù)隊列中的各項安全任務(wù)預(yù)估執(zhí)行時間;其次對任務(wù)在本地執(zhí)行和退回執(zhí)行時所需要的預(yù)估執(zhí)行時間進行比較,以便確定對應(yīng)安全任務(wù)的退回策略;最后,若不退回則置0,若退回則置1,從而得到安全任務(wù)局部退回策略。

管理節(jié)點在SOAR執(zhí)行playbook劇本時需要對安全任務(wù)逐一評估任務(wù)執(zhí)行時長,選取更優(yōu)的協(xié)同策略,生成各節(jié)點待分配任務(wù)隊列。

3 應(yīng)用效果

面向SOAR的云邊端安全消息總線采取MQTT協(xié)議,通過Apache ActiveMQ Artemis搭建MQTT服務(wù)器,使用Python的Paho-MQTT庫開發(fā)客戶端。云邊端安全消息總線部署如圖4所示。

圖4 云邊端安全消息總線部署

為了測試云邊端安全消息總線架構(gòu)下從管理節(jié)點發(fā)起和從云邊端節(jié)點發(fā)起的安全事件與響應(yīng)時間是否能滿足SOAR的實時性要求,設(shè)計如下測試方案。首先,云邊端節(jié)點與管理節(jié)點服務(wù)器按照長連接方式保持協(xié)同;其次,從管理節(jié)點根據(jù)安全事件發(fā)送SOAR響應(yīng)劇本,記錄發(fā)出的時間T1和云邊端節(jié)點收到的時間T2;再次,執(zhí)行SOAR響應(yīng)劇本,記錄劇本任務(wù)執(zhí)行的時間T3;最后,每隔0.1~10 s的隨機時長重新執(zhí)行以上步驟,模擬1天內(nèi)SOAR響應(yīng)執(zhí)行情況。

以SOAR響應(yīng)時間的平均值作為MQTT消息總線的評價指標。經(jīng)過統(tǒng)計,在24 h內(nèi)共下發(fā)了2 317個腳本,總用時1 728 s,腳本平均傳輸響應(yīng)時間為0.745 s,滿足云邊端安全消息總線在1 s內(nèi)完成SOAR腳本傳輸?shù)脑O(shè)計要求。

4 結(jié) 論

安全管理中心可以借助人工智能、多源數(shù)據(jù)的融合技術(shù)提升安全感知,智能化輔助決策,利用SOAR進行安全協(xié)同響應(yīng)處置。面向工業(yè)企業(yè)的復(fù)雜網(wǎng)絡(luò),在分析云、邊緣計算與終端設(shè)備協(xié)同控制傳輸特性的基礎(chǔ)上設(shè)計了一種貫穿云邊端的安全消息總線,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全消息傳遞服務(wù)。經(jīng)過實際測試,安全消息總線可以滿足云邊端SOAR實時性優(yōu)先傳輸?shù)脑O(shè)計要求,可以達到安全事件編排自動化、應(yīng)急響應(yīng)自動化的目的。

猜你喜歡
安全事件總線消息
淮安市加強安全事件管理提升風險管控能力
2020年度區(qū)塊鏈領(lǐng)域安全事件達555起
一張圖看5G消息
一種基于CAN總線的誤碼測試方法
CAN總線并發(fā)通信時下位機應(yīng)用軟件設(shè)計
基于CAN總線的水下通信系統(tǒng)設(shè)計
消息
消息
消息
寶馬F02車總線系統(tǒng)