2020企业安全威胁统一应对指南.pdf

2020 2020 2020 THE 2020 UNIFIED RESPONSE GUIDE FOR ENTERPRISE SECURITY THREATS 2020 关于报告关于FreeBuf咨询距离2019企业安全威胁统一应对指南发布已一年有余。随着网络安全相关的政策法规陆续出台落实、新技术投入应用，网络安全行业进一步发展变化。同时，传统威胁依旧存在，新的威胁与风险层出不穷，给企业安全带来更多挑战。面对2020年愈发严峻的安全形势，企业不仅要严防精心策划的外部攻击，也不能排除来自内部的安全隐患。与此同时，企业安全并非单点安全，而要兼顾到网络、系统、应用、人员、安全管理和运营等方方面面。如何做好企业安全架构与设计，采用哪些安全策略与产品，成为企业安全建设重点。 FreeBuf咨询针对企业安全最新现状和安全产品发展状况，开展深入调查，并在安全专家和顾问团队的指导下，构建企业威胁应对流程模型，结合理论和实践进行分析，形成2020企业安全威胁统一应对指南，旨在为企业安全建设提供从理论到实践的参考。 FreeBuf是斗象科技旗下国内领先的网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现专业的研究与咨询服务。目录 CATALOG 2 1.2.1 法律政策与等保合规 1.2.2 实战演习驱动安全发展 1.2.3 国内网络安全风险现状 1.1 前言 1.2 2020年国内网络安全态势综述 2.1 企业安全体系架构 2.2 企业安全应对流程 2.2.1 通信网络安全第二章企业安全威胁与应对流程1 第一章概述 02 12 12 12 12 13 14 15 17 19 20 21 22 23 23 24 24 25 25 26 27 28 28 30 31 32 27 08 02 03 04 04 2.1.1 法律政策与等保合规 2.1.2 实战演习驱动安全发展 2.1.3 国内网络安全风险现状 09 10 10 抗DDoS 上网行为管理域名安全 2.2.2 安全开发 14 动态应用程序安全测试 DAST 静态应用程序安全测试 SAST 交互式应用程序安全测试 IAST 2.2.3 应用防护 19 RASP WAF 邮件安全网页防篡改 2.2.4 身份识别与访问管理 23 SSO VPN 零信任 IDaaS 2.2.5 边界访问控制 25 堡垒机网络准入防火墙/NGFW 网络隔离/网闸 2.2.6 内容安全 27 恶意内容检测舆情监测钓鱼监测 2.2.7 业务风控 30 反欺诈账户安全验证码安全目录 CATALOG 3.1 网络安全市场概述 3.2 发展趋势参考文献附录1 / 应对指南厂商名录附录2 / CCSIP 2020中国网络安全产业全景图 3 第三章网络安全市场发展趋势 74 75 2 2.2.8 数据安全第二章企业安全威胁与应对流程 33 加密机 DLP 容灾备份数据库安全 2.2.9 云安全 36 云WAF 云抗DDoS 云主机安全 2.2.10 威胁检测 39 NTA/NDR EDR针对特定对象的APT攻击日渐增多,防御更加困难; 数字货币的兴起刺激了网络黑产的扩张,勒索和挖矿的恶意软件影响日趋扩大;黑客攻击流量加密、网络层和边界的防护失效等问题更是不一而足。企业安全威胁统一应对指南/42 另一方面,技术的迭代发展对于安全防护也提出了更高的要求:虚拟化云计算技术的大量应用,衍生出安全运营的需求升级;所有权和控制权的变化,导致管理机制的变化,引出安全责任共担机制、运维流程的变化,安全运营由外到内,防御和检测面临着深刻的变革。在这种新的安全形势下,采取主动防御的方式保护端点安全越来越有必要。终端检测与响应（EDR）的概念就是基于以上问题而诞生的。 EDR的重点不在于阻止漏洞利用和恶意软件，而在于监视终端以检测可疑活动，并捕获可疑数据以进行安全取证及调查。合格EDR解决方案应具备四大基本功能:安全事件检测、安全事件调查、遏制安全事件以及将端点修复至感染前的状态。EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对、行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应，能够在现有基础上为企业提供深层次、细化的端点数据。从本质上讲，EDR供应商提供的工具应当实现自适应安全架构的下半部分：资料来源：Gartner（2018年11月）添加欺诈行为特征以改进检测能力增加漏洞评估能力使用MITRE对抗技术和ATT&CK框架对警报进行分类和整合提高了常见事件响应（IR）任务和补救措施的自动化程度改进了搜索和常见事件响应的能力作为一种基础安全功能，Gartner预计几乎所有端点和服务器保护解决方案最终都将集成EDR功能。而从2010-2019市场份额的趋势来看，外资厂商正逐渐退出中国终端安全市场的舞台，为本土厂商提供了新的市场空间，EDR将成为未来几年终端安全市场持续增长的重要推动力之一（目前约20的企业终端部署了EDR）。 2020年，EDR领域主要发展成果如下：企业安全威胁统一应对指南/43 恶意软件检测（沙箱）沙箱（sandbox），是一个虚拟系统程序，允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。其工作原理为：通过重定向技术，把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据，属于驱动级别的保护。在互联网的发展过程中，几乎自网络和第三方程序出现起，便一直存在对网络流量和程序的分析需求。最早的沙箱技术在1970年代被引入，能够有效地帮助研究人员观察恶意软件的行为。由于现在的恶意软件多数经过模糊处理以规避基于特征码的杀毒软件，因此，沙箱这种基于行为分析的反恶意软件解决方案的存在就显得尤为重要。一般来说，基于底层信息的恶意软件检测效率更高，但是目前仍旧只能局限于离线的程序检测。并且引入机器学习等前沿技术辅助底层恶意软件检测，虽然能够显著提升检测准确性，降低漏判率和误判率，但是复杂的机器学习算法会在一定程度上增加硬件实现的复杂性。提高检测和响应复杂威胁（如高级持续威胁、零日威胁）的能力提高了安全威胁事件溯源的能力改进恶意脚本（尤其是PowerShell）和其他Microsoft实用工具漏洞检测改进可用性，旨在提高SOC操作员的生产力，并降低管理员响应警报时的知识要求，改进响应操作，如获取内存、文件以及脚本和命令的远程访问和执行将连锁攻击事件链整合到单个视图中集成多种网络安全解决方案，如云访问安全代理（CASB）、防火墙、NTA/NDR、安全电子邮件和Web网关快速、实时、自然的语言查询工具，可以快速响应针对数据存储中心或实时系统的IOC类型对象问题基于事件的可信度和严重性，以及受影响业务的风险优先级视图点击式攻击链可视化工具，帮助调查人员轻松地传递有效数据或深入了解更多信息自动获取可疑文件或内存和磁盘转储自动集成分析云或本地沙箱中的可疑进程/文件，具有清晰可见的元数据，并能整合全局信息威胁警报的严重性和可信度指标调查工具，提供警报管理工作流程，以便轻松分配、传输、注释和解决事件随着EDR市场变得更加成熟，其功能改进将侧重于提高自适应安全架构的功能（参见上图），以提供更全面和集成的安全功能，包括：构建情报共享门户网站和可提高“预测”能力的全球趋势数据；主动安全状态评估功能提供配置选项，比如白名单之类的强化技术将变得更加常见；加固策略将提供运行限制功能，以控制对OS服务的进程访问。我们建议在购买EDR服务或解决方案时应当关注以下几点：企业安全威胁统一应对指南/44 在未来，有可能会实现一种多级的恶意软件检测机制，在底层硬件实现简单分类器的集成再结合上层的算法和检测机制，在实现复杂度和计算性能之间，在软件和硬件之间寻找一个更好的平衡点。此外，在云计算大环境下，为了加强端点安全和入侵防御系统，基于云的沙箱技术也开始出现。在文件或链接传输到用户之前基于云的沙箱可以先在安全环境中检查潜在恶意内容、执行文件并查看其尝试执行的操作，以便尽早发现可疑行为。云沙箱的优势在于可扩展性，它能使企业轻松地增加或减少可分析的文件和链接数量。总体来说，云沙箱作为企业纵深防御战略的一部分，是对企业防御的有效补充。蜜罐网络欺骗的核心概念最早由普渡大学Gene Spaord于1989年提出，而“欺骗防御”一词，是近两年才出现的术语，简单来说，是一种通过工具诱骗攻击者，令安全人员得以观察攻击者行为的新兴网络防御战术。通过诱骗攻击者和恶意应用暴露自身，以便研究人员能够设计出有效的防护措施。蜜罐便是专门为诱捕攻击者而设置的脆弱系统，其具备真实网络的所有特征，包括真正的数据和设备、能够诱使攻击者盗取有价值数据或进一步探测目标网络的主机等。蜜罐（欺骗防御系统）一般部署于业务内部，应对的不是攻击或漏洞，而是关注攻击者本身，从而打乱攻击节奏，增加攻击复杂度，给企业更多响应时间。同时，还有可能对攻击者进行分析溯源，以预防未来更多的攻击。随着整个安全市场的发展，蜜罐逐渐发展出扩大版、升级版，也就是欺骗防御系统。欺骗防御可以利用各种新技术将蜜罐覆盖到企业的不同业务中，组成大的欺骗防御网络，在各个层面实现侦测。欺骗防御尚处于发展初期，与大多数新生安全技术一样，其初始用例是大企业才用的小众工具，随后才会逐渐在市场上铺开。目前，这些工具对政府设施、金融机构和研究公司之类引人注目的目标尤其有用。公司企业仍需安全分析师来解析安全欺骗工具收集的数据，所以没有专业安全员工的小公司通常无法享受到欺骗防御工具的好处。尽管如此，中小企业可以签约提供分析与防护即服务的安全供应商，以委托的方式从这种新兴技术中获益。 UEBA 网络行为分析（Network Behavioran Alysis，NBA）是一种通过监控网络流量、关注网上异常行为，从而提高专有网络安全性的手段。传统入侵防御系统采用数据包监测、特征检测、实时阻断等手段保护网络边界安全。网络行为分析关注内网情况，从多个网络端点聚集数据支持离线分析。 NBA的实现有多种方式，其中有两个最重要的分支：基于Flow流量分析技术的NBA：通过收集网络设备的各种格式的Flow日志来进行分析和审计，发现违规和异常行为，传统的网管厂商很多开始以此为进入安全的切入口；而安全厂商则将其归入范畴。基于抓包协议分析技术的NBA：通过侦听网络中的数据包来进行分析和审计，发现违规和异常行为，传统的安全厂商很多以此作为进入审计领域的切入点。行为分析技术从数据维度上可分为端点、网络、人员实体和非人员实体等4个维度。从具体发展应用情况看，目前它可分为用户实体行为分析（UEBA）、端点行为分析、网络行为分析三个方向。企业安全威胁统一应对指南/45 IDPS 过去几年里，网络攻击所带来的安全威胁严重程度已经上升了很多倍，几乎每个月都会发生数起严重的数据泄露事件。基于网络的IDS/IPS并不是一种新出现的技术，但是考虑到网络攻击技术的最新发展趋势，IDS和IPS的实现方式仍然是我们需要理解和考虑的内容。入侵检测系统（IDS）和入侵防御系统（IPS），这两者均是保护我们网络安全的重要机制。入侵检测系统（IDS）是一种通过实时监控网络流量来定位和识别恶意流量的软件。在网络系统中，IDS所处的位置是一个非常关键的设计因素，IDS 一般会部署在防火墙之后，但我们还应该在充分了解网络数据流和整体网络架构之后再去考虑IDS的部署位置。除此之外，为了进一步提升网络的整体安全性，我们还建议可以部署多个IDS。常用的入侵检测方法如下：特征型入侵检测：又称误用检测，指利用已知恶意行为和已知系统和应用软件的弱点攻击模式来检测入侵。传统的特征型入侵检测技术主要包括基于专家系统的攻击检测技术和基于模型推理的攻击检测技术。异常型入侵检测：根据异常行为和使用计算机资源情况来检测入侵。传统的异常型入侵检测技术分为基于统计方法的攻击检测技术和基于神经网络的攻击检测技术这两种。不过，当攻击发生时，入侵检测系统只能发出警报，它并不能防止攻击的发生。而入侵防御系统（IPS）却能有效地阻止攻击行为的发生，因为所有的网络流量在达到目标服务器之前，都需要流经IPS。所以在没有得到允许的情况下，恶意软件是无法触及服务器的。企业环境下的IDS/IPS设计架构如下图所示：网络安全体系的行为分析模型端点网络人员实体非人员实体 UEBA 用户实体行为分析 NBA 网络行为分析端点行为分析其中，用户实体行为分析（UEBA）通常采用监督和非监督机器学习技术检测异常行为和发现威胁。监督机器学习模型通常利用海量数据样本进行训练，并用于提供快速的威胁指示。非监督学习模型提供自学习能力，能随着网络威胁行为的变化，持续、自适应、准确地识别异常行为。企业安全威胁统一应对指南/46 目前IDS/IPS的形态共有如下几种，企业可根据自身需要选择：（1）基于主机的IDS/IPS （2）基于设备的IDS/IPS （3）基于路由器的IDS/IPS （4）基于防火墙的IDS/IPS （5）基于云环境下的IDS/IPS （6）针对智能物联网设备的IDS/IPS 2.2.11 安全情报网络空间资产绘测当下网络空间治理的一大重点在于高效管理网络空间、发现和识别网络空间基础设施、合理分配资源并进行安全检测防护，而“网络空间测绘”技术应运而生，其意义正是在于“看得清、防得住” 。企业安全威胁统一应对指南/47 网络空间测绘产品通过对互联网空间上的资产（服务器/设备端口、协议、应用、漏洞等）进行纵深探测，建立分布情况和网络关系索引，对企业资产安全状况进行建模分析和画像建立。从而结合业务特点对资产重要程度、业务安全要求进行资产归纳，发现互联网资产暴露面、未知资产类型等关键安全信息，实现网络资产的可查、可定位、操作可识别。目前，网络空间测绘技术主要分为三个阶段：（1）资产可查：探测互联网暴露面存在的设备、协议、服务类型等信息（2）资产可定位：梳理资产所归属的地理及单位信息（3）资产操作可识别：资产状态发生变化，可以识别出具体变化情况交换设备内容虚拟人虚拟服务交换机路由器 Wi-Fi 基站 . . . . . . . . . 固网接入设备服务器 PC机移动接入设备手机笔记本物联/工控接入设备摄像头 DVR 消息文档聊天通讯文本视频账号 QQ号微信号基础服务应用服务 DNS CDN 网站邮件网络空间资源实体资源虚拟资源接入设备网络空间资源分类（来源：网络空间资源测绘：概念与技术） SaaS应用构架云端用户界面第三方接口资产搜索任务管理资产展示与报表平台配置 NGSOC 企业网络资产测绘平台态势感知 CMDB 知识库主动引擎指纹库资产数据库漏洞探查规则库（版本、POC）资产情报库平台内部接口（API）规则/指纹API 数据API 任务API 情报库管理探针任务调度基于版本的漏洞检测引擎企业安全威胁统一应对指南/48 网络空间资产测绘技术将是网络安全的基础技术，目前该技术及相应产品在聚类分析、特征提取等数据挖掘有丰富的实践，预计未来还将朝着测绘广泛化、精细化及智能化，并且融合情报信息，绘制有效的高精度网络空间地图。资产绘测后，企业可以威胁情报目前来说，最被大众所接受是安全威胁情报服务市场指南中对威胁情报的定义：威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。 20世纪80年代美国部队曾将一种威胁情报驱动方式用于军队训练，即著名的F3EAD（Find，Fix，Finish，Exploit，Analyze，Disseminate）。近年来已成为信息安全领域最受关注的概念之一。有效进行风险控制和风险管理，及时打补丁或安全加固进行漏洞预警管理，当新漏洞被发现时，可以快速对应到资产，了解影响范围和影响程度，做到针对性预警企业安全威胁统一应对指南/49 目前，F3EAD的概念已广泛应用于网络安全领域，其核心理念“查找-删除-下一个”已成为很多安全团队在处理网络安全问题中所采取的标准流程。此外，根据不同的标准，威胁情报也可以分为多种类型。首先根据其本身，可以分为HASH值、IP地址、域名、网络或主机特征、TTPS等，其来源是The Pyramid of Pain中提出的威胁情报相关指标的金字塔模型。左侧是能够利用的情报，右侧是这些情报给攻击者造成的困难程度而情报本身，根据使用场景的不同，也可以分为三类，分别是：战术级情报：主要用于发现威胁事件以及对报警确认或优先级排序；运营级情报：一般是给安全分析师或者安全事件响应人员使用的，目的是对已知的重要安全事件做分析或者利用已知的攻击者技战术手法主动的查找攻击相关线索。战略级情报：战略层面的威胁情报是给组织的安全管理者使用的，比如CSO。它能够帮助决策者把握当前的安全态势，在安全决策上更加有理有据。业内专家认为，情报是过程的产物，而非独立数据点的合集。根据情报的特性可以刻画出威胁情报的生命周期：企业安全威胁统一应对指南/50 其中各项具体含义如下：定向(Direction)：定义目标并完善收集(Collection)：从多种开放或封闭的源收集数据；电子的、人工的处理(Processing)：如有需要，翻译；进行可靠性评估；核对多个源分析(Analysis)：判断此信息的意义；评估信息的重要性；推荐相应措施传递(Dissmination)：将情报传递给客户反馈(Feedback)：依照需求调整传统的防御机制根据以往的“经验”构建防御策略、部署安全产品，难以应对未知攻击；即使是基于机器学习的检测算法也是在过往“经验”（训练集）的基础寻找最佳的一般表达式，以求覆盖所有可能的情况，实现对未知攻击的检测。但是过往经验无法完整地表达现在和未来的安全状况，而且攻击手法变化多样，防御技术的发展速度本质上落后于攻击技术的发展速度。从而需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段，就此，威胁情报应运而生。通过对威胁情报的收集、处理可以直接将相应的结果分发到安全人员（人读）和安全设备（机读），实现精准的动态防御，达到“未攻先防”的效果。 2018年10月10日，我国正式发布威胁情报的国家标准信息安全技术网络安全威胁信息格式规范，为威胁情报的应用提供了可靠参考。2019年 11月20日，国家互联网信息办公室发布的网络安全威胁信息发布管理办法（征求意见稿）公开征求意见则指出，相关组织和个人可通过风险提示、威胁情报等方式提醒公众加强风险防范。此外，Gartner发布全球威胁情报产品与服务市场指南（Market Guide for Security Threat Intelligence Products and Services），也从威胁情报的市场角度分析中，展示了威胁情报不仅具备技术价值，同时还具备商业潜力和产品市场空间。攻击活动相关方法所属事件发起活动发起主体使用方法漏洞利用有效措施采取措施对应指标对应方法方法体现相关数据威胁主体攻击指标安全事件攻击目标对象域方法域事件域攻击方法应对措施可观测数据企业安全威胁统一应对指南/51 漏洞检测漏洞检测是一种重要的网络安全技术，通过对网站中漏洞的扫描与攻击模拟，及时发现潜在的危险漏洞，根据漏洞危险程度进行风险评估，及时进行漏洞的修复，在黑客发现并对网站进行攻击之前，完成修复工作，防患于未然。一般来说，主机包括服务器和终端，其中服务器包含网络设备和硬件，终端则包括个人电脑和移动设备。主机安全一般指检测主机上是否存在安全漏洞、是否发生黑客入侵行为、是否有外来攻击以及后门木马等情况。目的在于保护主机在数据存储方面的保密性、完整性以及可用性，包括硬件、软件、固件的安全以及一系列附加的安全措施。基于主机层面的漏洞也就是系统漏洞，包括操作系统本身的漏洞和运行在操作系统上的应用程序的漏洞。这些漏洞会给系统带来重大安全风险，需要通过漏洞检测技术来发现漏洞并尽早阻止威胁。常见的漏洞检测技术包含安全漏洞静态检测技术和安全漏洞动态检测技术。利用主机漏洞检测（Host）技术，可以在目标系统上通过代理或服务来访问全部的文件与进程，随后进行漏洞扫描检测。常见的漏洞扫描工具基本都能覆盖到不同的系统（主机）漏洞。将漏洞检测和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。随着漏洞检测的自动化，可选的检测工具也越来越多，多数漏洞检测能够在极短的时间内完成。但仍需要多个工具来减少误报和漏报的概率。并且，由于多数应用程序中存在着与业务逻辑相关的漏洞，因此漏洞检测仍旧依赖人工的辅助，以确保其达到最高的工作效率。 2.2.12 漏洞检测与管理漏洞管理漏洞管理(VM)是每个全面信息安全项目的必备基础，不是什么可选项。事实上，很多信息安全合规、审计及风险管理框架都要求公司企业拥有并维护好漏洞管理项目。漏洞管理过程是一项持续的信息安全风险事业，需要多方面的管理督导。漏洞管理主要由4个高级过程组成：发现、报告、风险定级及响应。漏洞管理框架中，每个过程和子过程都是着重改善安全和减少网络资产风险的持续周期的一部分。漏洞管理最佳实践 1.发现和再发现管理漏洞发现过程是要找出网络资产，并加以分类和评估。关于资产的信息应按数据类型分类，比如漏洞、配置、补丁状态、合规状态或者仅仅是资产库存。 2.报告发现过程中找出的数据通常以各种不同的形式报告给相应的受众。报告过程应创建馈送至漏洞管理过程的优先顺序矩阵。毕竟，每个漏洞的原始数据未必都那么值得投入来降低企业风险。理想状态下，这些报告应能为战术性运营任务所用，而在较高层级可为高层管理提供可见性及面向业务的风险指标。 3.风险定级在这个流程中主要是需要对已知风险进行优先级排序。因此需要一个风险定级的过程。在漏洞登记判定的过程中，主要依据两大规范：一类是DREAD 模型，而另一类是根据漏洞风险结合业务核心程度判断影响力。在实际生产环境中，后者可能会更多被采纳。利用既有数据可以快速计算出风险等级，而且便于自动化提示。再结合该风险所关联的核心业务重要性去决定其处理时优先次序，即由“漏洞危害基础分*核心业务权重”得出最终的漏洞风险等级。企业安全威胁统一应对指南/52 2.2.13 事件管理&响应 4.风险响应风险响应是漏洞优先化过程的下半场。基本上，风险响应是企业选择来解决已知风险的方法(注意：无视风险并非响应方式之一)。解决风险的方法分为3类：修复、缓解，或是接受。修复可以理解为修正已经发现的错漏。比如说，因为忘了打补丁而导致的漏洞，就可以通过安装补丁程序来加以修复。漏洞管理只是安全项目的其中一部分，解决不了整个风险管理问题。漏洞管理是安全项目的基础，只有全面了解自家网络上都有些什么，才能有的放矢。 SOC 态势感知的概念最早在军事领域被提出，覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知（Cyberspace Situation Aware- ness，CSA）”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。 SIEM SIEM，全称为Security Information and Event Management Software，即安全信息和事件管理软件。它可以帮助我们提取、分析和管理那些来自文本文件的信息，并在不需要任何人工交互的情况下对数据进行动态标记和报警，这将帮助我们预先收到已知威胁的安全警报。 SIEM将许多其他安全规程和工具结合在一个综合的框架下: 日志管理(LMS) 用于传统日志收集和存储的工具。安全信息管理(SIM) 集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如，这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。网络安全态势是指整个网络当前状态和变化趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。以商业银行网络安全态势感知体系为例，包括如下四个部分：态势察觉：主动探测+被动监听采集实现多维度多层次数据源收集；态势理解和评估：对数据源进行预处理、数据融合并进行多层次多维度的态势评估；态势预测：运用数据分析模型实现态势预测，并通过可视化技术集中呈现，提供决策数据，指导安全防御体系的敏捷调整和持续运营；安全决策：高层领导、部门领导、安全经理和运维人员在内的四层网络安全态势管理模式。企业安全威胁统一应对指南/53 SIEM核心功能漏洞管理资产发现入侵检测行为分析日志存储、检索报告管理生成报告对于安全分析人员来说，SIEM集中收集来自所有相关数据源的安全数据，存储大量信息，可以使用这些信息了解实时发生的事件和流程。SIEM的另一个主要优点是能够将事件关联起来并在仪表盘中可视化数据，这为分析人员提供了一种获得实时可见性的方法。 SIEM产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据，并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。此外，当今大多数合规性类型，如HIPAA、PCIDSS、SOX和GDPR，都要求组织遵守一系列的安全控制。这些控制包括：日志收集、监视、审计和警报， SIEM系统可为所有这些提供支持。 Gartner表示，SIEM软件仅占全球企业安全支出总金额的一小部分。Gartner预测，SIEM技术的支出将适度增长，2021年将达到34亿美元。企业在选购SIEM产品之前，需要认真了解自身环境，确定SIEM安装的实际要求，对比不同SIEM产品的各项功能，总的来说不要忽略“架构概述、SIEM 功能、成本审核及其它服务”四个部分，才能尽量选择出最适合自己的目标。安全事件管理(SEM) 基于主动监视和分析的系统，包括数据可视化、事件相关性和警报。完整的SIEM核心功能结构可参考下图： SOAR SOAR（安全协调，自动化和响应）是兼容软件程序的解决方案堆栈，可让组织从多个来源收集有关安全威胁的数据，并在无需人工协助的情况下响应低级安全事件。该术语用于描述三种软件功能威胁和漏洞管理，安全事件响应和安全操作自动化。该术语是由研究公司Gartner创造的，SOAR系统具备帮助定义、区分优先级和标准化响应网络事件的功能。换句话说，SOAR堆栈使组织能够确定问题、定义解决方案，然后使响应自动化。组织经常采用该系统来提高效率，从而使安全性可以得到保障。通过减少人工干预，可以更快地应对威胁和漏洞。该软件使安全团队能够利用威胁规则预见攻击者的下一步动作，这些威胁规则源于对攻击者的战术、技术和程序（TTP）以及已知的危害指标（IOC）的洞察。为此，它使用多个威胁情报源（有关潜在和当前威胁的组织和分析信息）来补充威胁检测。根据Gartner的说法，SOAR技术的三个最重要的功能是：威胁和漏洞管理：这些技术支持漏洞的修复。它们提供了正式的工作流程、报告和协作功能。安全事件响应：这些技术支持组织如何计划、管理、跟踪和协调对安全事件的响应。安全操作自动化：这些技术支持工作流程、策略执行和报告的自动化和编排。企业安全威胁统一应对指南/54 SOAR的应用优势如下：解决预算限制：引入SOAR是为了解决工作场所中与网络安全有关的许多问题，包括预算限制。随着威胁的发展，不断需要新技术来应对攻击。新技术需要更大的预算才能为技术本身和管理技术的人员提供资金。随着复杂程度的提高，应用程序的数量也随之增加，监视它们的工作量也随之增加。 SOAR简化了这些流程，使其更加节省时间和成本。改善时间管理和生产力：改进时间管理的另一个好处是生产率的提高。通过使用对威胁的自动响应，员工可以更好地将时间安排在无法自动化的任务上。有效管理事件：使用SOAR帮助威胁和漏洞可以更快地得到响应。借助SOAR技术，事件响应变得更加准确，所需时间减少并且威胁风险最小化。自动化过程消除了人为错误。灵活性： SOAR适应任何安全系统，并且可以根据环境进行自定义，公司的多个团队可以访问输入和读取数据。尽管安全信息和事件管理（SIEM）和SOAR堆栈都聚合了来自多个来源的相关数据，但SOAR服务与范围更广的内部和外部应用程序集成在一起。如今，许多公司使用SOAR服务来增强内部SIEM软件。将来，随着SIEM供应商开始向其服务中添加SOAR功能，预计这两个产品线的市场将合并。当前提升其提供SOAR功能能力的供应商包括LogRhythm，Rapid7和Cyber sponse。 2.2.14 调查取证调查取证基本贯穿应急响应的整个流程，主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据的检测、整理、收集与分析。例如在企业遭受网络攻击或者进行安全审计时，企业安全管理人员需要了解以下信息: 攻击是如何发生的内部的违规操作是偶然发生还是故意为之哪些数据被泄露哪些主机和账号遭到了入侵是否还留有后门企业安全威胁统一应对指南/55 在发现威胁或者危险发生的初始阶段，需要尽可能获取更多的线索，尽快找到风险源头所在。如果确定是人为攻击，调查取证也需要根据系统中留下的线索追踪入侵者。此外，即便在风险消除以后，总结分析依然是不可缺少的步骤，避免下一次再发生。调查取证意味着资源投入，产出是事故的根源分析、攻击方的画像信息、攻击技术战术和方法、安全防护措施失败的原因等等。而这种产出的价值对于一般的、小规模的非专业安全运营团队却有很大的不确定性。于是，安全能力不够强大的中小企业是不能、有安全调查能力的大型企业是不愿，导致的后果是没有足够多的信息系统运营者选择“调查”。这也是网络安全“外在性”的一个表征之一。 2.2.15 安全服务安全咨询与培训教育安全咨询（Security Consulting）是依据国家政策和国家信息安全标准，基于客户信息安全需求，提供企业信息安全规划与管理方面的咨询服务。安全咨询可以协助企业识别信息资产及业务流程的信息安全弱点，并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询机构综合国际及国内的各项标准、政策要求和实践优化经验，可以为企业搭建全面的、无缝整合的动态信息安全保障体系，持续保障企业安全。现阶段我国的安全咨询业务主要涵盖等级保护咨询服务、安全管理咨询服务、业务连续性咨询服务和行业安全咨询服务几大类，分别从合规、风险评估与管理等角度提供咨询服务。不过，对于企业而言，除了安全咨询之外，还要有合适的安全培训和安全教育才能全方位保障企业安全。IBM安全报告显示，网络安全事件中超过 95是由于人为原因（有意或无意）引起的。例如误点钓鱼邮件中的链接、丢失USB存储器甚至是有意或无意地与未经授权的人共享信息，诸如此类屡见不鲜。因此，加强员工安全意识培训，也是企业安全持续改进的重要一步。从实践上来说，企业进行安全意识教育的主要手段有： 1、员工意识培训：安全意识培训应重点针对新员工以及公司的人力、财务等非技术人员。此外，安全意识培养也绝非一次性努力，制定长期的安全意识培训计划，持续关注安全意识平培养成果，将取得更好的效果。 2、安全科普：如果公司有内刊的话，可以新增安全科普专栏。即使看的人不多，几篇优质的安全文章有时候也会产生意想不到的效果。此外，张贴安全意识海报、设置安全提醒屏保等也是常见的安全科普手段。 3、定期审核：定期进行安全意识审查，主要方式包括答题及模拟社工等。偶尔给被培训的同事发送钓鱼邮件是一个不错的方法。此外，企业的研发人员或安全团队的成员也可定期接受渗透测试等专业安全技术培训，提升专业能力，以便持续提升企业整体安全水平。企业安全威胁统一应对指南/56 渗透测试近年来，许多企业进行数字化转型或布局，无形中扩大了网络攻击犯罪者的攻击面。相较于被攻击后或造成损失后再进行补救，企业更应防范未然，将风险扼杀在摇篮。渗透测试则是一种重要的保障方式。知己知彼，百战不殆。渗透测试则是以安全为基本原则，通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全。以一个攻击者的角色去对系统的弱点、技术缺陷或漏洞进行主动分析及利用，简而言之则是走“攻击者”的路，让“攻击者”无路可走。其目的是让企业了解入侵者可能利用的途径及系统、网络的安全强度，提前规避潜在的风险。渗透测试有几个步骤：明确目标该阶段主要确定测试的范围、规则及需求，主要是做前期准备。信息收集确定目标后，可以利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。威胁建模结合目标以及收集到的各类信息进行宏观的渗透测试计划设计，具体内容包括进行威胁建模（Threat Modeling）与攻击规划。漏洞分析首先，查找出各种系统，应用等的漏洞。然后将发现的可能被成功利用的漏洞验证一遍。结合实际情况，搭建模拟环境进行试验。成功后再应用于目标中，打开攻击道路的路径。渗透攻击利用找出的目标系统安全漏洞，来真正入侵系统当中，获得访问控制权。然后进一步渗透，进行内网入侵敏感目标。攻击完成后，清理痕迹，如相关日志（访问，操作），上传文件等。形成报告入侵阶段结束后，整理渗透工具、渗透过程中收集到的一切信息包括遇到的各种漏洞，各种脆弱位置信息，然后将上述信息形成渗透测试报告，并针对存在的问题提出修补及升级方案。渗透测试方法分类一般包括三类：一是黑箱测试，又称“Zero-Knowledge Testing”，渗透取来自于DNS、Web、Email及各种公开对外的服务器。二是白盒测试，这类测试的目的是模拟企业内部雇员的越权操作。三是隐秘测试，该类别主要是对被测单位而言的，通常情况下，接受渗透测试的单位网络管理部门会收到通知：在某些时段进行测试。因此能够监测网络中出现的变化。随着网络安全攻击事件大幅增长，网络安全市场需求日益剧增。Gartner曾预测，整个网络安全市场2020年将达到1600亿美金的规模，渗透测试将达到120亿美金。同时，随着业务越来越全球化和复杂化，人工渗透测试的局限性逐渐显露，市面上已经出现大量自动化渗透测试工具。此类自动化工具可以实现效率更高，成本更低地提升安全预防能力，降低组织资产损失。企业安全威胁统一应对指南/57 攻防演练攻防演练即企业在一定的规则下，通过多种手段攻击企业关键信息资产，尝试获取服务器的权限。通常思路是利用入侵成功的外网服务器或者办公终端作为跳板，通过尝试安装后控制目标，最终攻击内网的关键服务器获取敏感数据，而安全防护主要是在了解攻击思路的基础上进行的安全防护操作。安全防护体系是否能够有效形成纵深防护，来增加供给成本；安全产品能否应对新的攻击手段以及在发生安全事故，能否做到有效的应急响应，通过攻防演练都能够得到有效的检验，这也使其成为企业主动发现安全问题的途径之一。攻击路线图：防守路线图：企业安全威胁统一应对指南/58 安全