严亚萍 冯中华 王雪 管泽方 许光利
随着企业、机构业务规模的不断扩大,大量信息系统被部署在云平台上。云平台中各类资源以虚拟化的形式存在,资产信息动态高频发生变化、内部网络形成多个逻辑隔离分区、传统网络边界定义相对模糊,这些特点都为安全防护的开展提出了更高要求。相比传统环境,云平台内部东西向流量激增、流量和威胁对外不可视,传统安全防护措施逐渐失效,物理网络安全设备很难感知云内发生的安全事件,无法对云内攻击行为进行有效拦截,可能导致威胁范围快速扩大并进一步蔓延。
目前,云平台内部主要通过以虚拟化镜像存在的虚拟化安全资源(如vFW、vIDS、vIPS,也称为安全网元)形式进行防护,如何对这些虚拟化安全资源进行调度编排,合理高效地使用有限资源池,满足动态变化的云平台安全防护需求,是运维人员面临的一道难题。
同时,一项全球调研显示,超过70%的安全运营团队认为受到了事件过载带来的严重影响,已经被大量的事件淹没,并承认他们没有信息能够确定事件优先级并及时作出响应。
针对运维过程中时常遇到的事件爆发式激增场景,现有的安全工具难以解决众多安全系统产生的海量数据,需要引入服务链编排技术,通过预设专家规则库和智能自学习相结合的方式,对预设编排链的执行过程、事件处置效果等进行反复的归纳和学习,不断积累经验和更新编排链,以实现对重大安全威胁和突发事件的高效处置,实现更加智能化的安防运维。
(一)服务功能链
服务功能链(Service Function Chain, SFC)是一种网络服务构建技术,通过将业务流量所请求的网络服务抽象为一系列有序的网络功能单元,进而由网络根据业务的服务策略引导特定流量按序穿过特定的网络节点上对应的服务功能处理,从而完成业务的网络服务请求,可由管理员静态配置或动态编排
(二)SOAR
安全编排与自动化响应(Security Orchestration Automation and Response,SOAR)由Gartner于2015年提出,理念是联动不同安全工具和技术,通过创建手动和自动协同操作的工作流步骤,对安全事件的智能化编排和自动化响应,对安全威胁进行高效处置闭环,实现由人工低效的手动处置向高效自动的智能响应转变。
(三)ATT&CK
ATT&CK(Adversarial Tactics Techniques, and Common Knowledge)由MITRE于2015年提出,目前已经发布13个版本,该框架以“战术-技术”的矩阵形式描述,提供了一种用于入侵行为描述的通用语言和知识图谱,对于威胁情报、检测分析、模拟攻击和评估改进方面有很好应用价值。
安全服务编排模型采用基于SOAR的服务链编排技术路线,针对云平台中各类安全资源的动态配置管理和网络安全事件的快速响应处置需求,实现基于软件定义的智能化、灵活化、精准化安全防控,提升安全运营效率、减少运营人员工作压力。
(一)作用用途
服务链编排可以与SOAR结合,以提供更强大的自动化和响应能力。
1. 自动化响应
服务链编排模型可以用于自动化响应安全事件和威胁。当SOAR系统检测到安全事件或威胁时,它可以触发服务链编排模型来自动调度和协调一系列安全相关的服务,例如日志分析、威胁情报查询、事件响应和修复操作等。
2. 安全工作流程管理
服务链编排模型可以用于管理和执行复杂的安全工作流程。通过结合SOAR系统的自动化和协调能力,服务链编排模型可以实现对安全工作流程的定义、调度、执行和监控,从而提高安全操作的效率和准确性。
3. 安全事件响应编排
服务链编排模型可以在安全事件响应中起到关键作用。当发生安全事件时,SOAR系统可以触发服务链编排模型来协调不同的安全服务和工具,例如威胁情报收集、恶意代码分析、事件溯源和修复操作等,以快速、自动化地响应和解决安全问题。
4. 整体安全自动化
通过结合服务链编排模型和SOAR系统,可以实现整体的安全自动化。安全操作和流程可以通过编排模型进行自动化、标准化和可重复的执行,提高安全团队的工作效率,同时减少人为错误和响应时间。
综上,服务链编排模型和SOAR系统可以相互结合,以实现自动化、协调和优化安全操作和响应。这种结合可以提供更强大的安全自动化和响应能力,帮助组织更有效地应对安全威胁和事件。
(二)相关工作
在服務链编排手段方面,学术界已经进行了较深入的研究,并提出了一些SFC编排部署系统设计,包括Stratos、NFV-RT、Apple、Hyper、MicroNF和Daisy。
Stratos是一个支持SFC水平扩展的SFC编排部署系统,平均编排速度大约为每秒67条SFC,不足以满足大规模数据中心的秒级编排需求;NFV-RT是为数据中心网络设计的SFC编排部署系统,其不支持对可编程设备的网络功能进行扩容编排,同时其单编排器的设计导致NFV-RT缺乏在大规模拓扑下实现秒级扩容编排部署的能力;Apple是为软件定义网络(SDN, software defined network)设计的SFC编排部署系统,其优化引擎通过运行求解器计算最优的编排部署方案,但其编排时间复杂度是非多项式的,无法满足数据中心内的快速弹性扩容编排需求;Hyper是一个异构SFC编排部署系统,其单编排器设计无法支持大规模数据中心的秒级弹性扩容编排; MicroNF是一种异构SFC建链系统,其并未对大规模的数据中心编排进行设计,导致其缺乏扩展性;Daisy是一个高可扩展的异构SFC编排部署系统,但其SFC编排时间在分钟级,难以满足大规模数据中心场景下的秒级弹性扩容编排需求。
(三)典型流程
在安全运维管理过程中,安全事件的处置流程往往具有依赖关系。服务链编排模型通过可视化配置实现安全事件分析,为安全事件自动处置提供上下文,降低事件处置复杂度。系统通过简单的拖拽方式对事件处置流程中涉及到的数据源、安全规则、响应方式进行选择,降低运维人员的配置工作量。服务链编排流程是对预先确定的有限操作、操作流程和操作对象进行排序、调度和管理,利用服务链编排自动化执行过程提升事件响应效率,利用智能自学习技术不断提升事件响应的准确率。服务链可视化编排的流程如图1所示。
服务链编排将多个安全网元分别组成串接链和旁路链,并被引流策略引用,不同的安全网元提供不同的安全防护能力,可配置不同的安全策略。服务链中的串接链按照配置指定的排列顺序组合成一条网络链,引入的流量也会按照这个顺序依次进入各安全网元进行处理;旁路链中的各安全网元之间没有任何联系和影响,云平台只是简单的把流量复制并镜像到各安全网元,不影响正常流量的转发。
服务链编排通过为安全事件构建即时上下文,加速通常需要手动执行的事件处置操作,简化了分析人员的工作流程。通过安全服务链编排、流量编排和安全策略配置,联动各安全网元实现事件的自动化处置,为安全运营过程节省时间,提升安全运营效率。通过使用安全服务链编排流程,安全分析人员可以将工作重点放在高优先级威胁活动分析、融合分析、深入调查等环节,使得组织针对安全威胁能够更好地进行闭环响应。
(四)系统设计
系统模型设计如图2所示,由服务链编排、引流策略、工作流引擎、安全服务资源库等部分组成。
1.服务链编排
模型采用基于流程定义的可视化编排技术,即服务链编排,为安全运维人员提供一种集成化、可视化的流程设计以及管理手段,将流程配置数据从静态转为动态,依托丰富的可视化模板实现个性化、自定义的流程编排设计,辅助运维人员快速、高效地完成服务链编排。服务链编排提供图形化操作界面,支持以拖拽或勾选的方式选择安全网元、操作内容和调整排序等内容,并以图形化的方式对其编排内容进行可视化展示,管理員通过服务链编排界面,创建服务链编排模板。
需要进一步指出的是,服务链编排模板将业务转义为工作流引擎可以执行的安全策略后,就成为了服务编排模板,也称之为工作流。这时候,每个节点过程都转义为具体的网元和动作。
管理员按照业务需求将安全网元编排到服务链中,通过分组、勾选、拖拽等方式选择操作对象和实施动作,调整执行顺序,实现对各安全网元(包括攻击检测、接入管控、访问控制等)的规则配置、策略配置、功能配置。服务链编排在编排过程中,可同时提供对云平台中安全网元的统一管理,可通过配置管理界面进行安全网元的新建、删除、启动、重启、停止等操作。
若需要的安全功能在云平台中不存在相关安全网元,管理员可将虚拟的安全网元镜像上传至云平台,由云平台进行加载和启动;若不需要某个安全功能,管理员可选择删除、停止某个安全网元。
系统将管理运维人员通过可视化服务链编辑器创作的服务链进行存库、列表展示和管理维护,其中管理维护操作包括服务链的添加、编辑、删除等功能。服务链模板以列表的形式进行展示,展示内容包括服务链名称、创建时间、串行链、并行链等,服务链模板为后续安全响应提供数据支撑,系统通过预置服务链模板可实现安全基线、安全场景的一键式切换。
服务链编排过程中需包含任务执行的主体、客体以及行为,需要抽取和分类处理的信息。安全运营任务中的各类要素信息经过定向抽取之后,被分类储存在为当前任务创建的设备资源要素库以及安全业务要素库。为安全运营任务的编排提供支持。服务链要素抽取如图3所示。
编排组件是安全运营任务的主体。针对编排组件主体的解析,主要是针对事件中涉及的网络配置以及安全网元、IP地址、管理关系进行抽取,明确服务链及策略下发的目标。
安全网元是安全运营任务执行的客体,是安全运营任务执行时操作的安全装备、安全资源相关信息的描述。针对安全运营客体的解析,主要是针对可调度网元信息、安全通联信息、资源信息以及力量编组信息进行抽取。安全装备信息是指安全运营任务执行中所使用的安全网元类型、功能特点的描述,用于筛选符合响应任务要求的虚拟安全设备;安全资源信息是提升各类系统安全防护能力的补丁、软件升级包、漏洞库、病毒库、规则库等各类安全资源的描述,用于协助安全设备进行安全资源的加载;安全通联信息是信息系统中各类业务系统与业务系统、终端与业务系统之间连接关系,用于协助规划安全防护的对象;力量编组信息是指本次安全运营所依赖的安全运维保障力量,用于确定安全运维和管理的服务提供方。
响应策略是安全运营任务下发的行为信息,是指对安全运营任务在各类安全运营场景下业务处理的描述。即不同任务场景下对于安全装备、安全资源以及安全运维策略、引流策略的配置,例如攻击阻断、病毒查杀、漏洞修复等。
2.引流策略
系统支持对受管安全网元进行集中引流策略管理,包括引流策略的添加、删除、调序、启动、停止等管理功能。管理员可以根据多个维度设置不同条件的引流策略,将命中不同引流策略的流量引入与之对应的服务链,其中维度包括源安全域、目的安全域、源用户、源地址、目的地址、服务、VLAN、流量方向等。系统将引流策略通过数据交换模块下发到云平台中的安全管控基座,基座通过在核心虚拟路由上配置策略路由或者其他引流方式,将流量牵引到其各个安全网元中。引流策略的命中原则为从上往下顺序匹配,如果命中则根据服务链进行引流,如果命中的策略未设置任何服务链则不引流,命中后则不再匹配后续策略,未命中策略默认不引流。
3.工作流引擎
为保证服务链中每个策略被正确的执行,需要工作流引擎按照编排模板对流程进行自动化或手动化执行,当需要人工手动执行时,系统会自动发布工单并通知相关的人员进行手动操作,在手动操作完成以后为该步骤打上标签标记为已完成后,可继续执行下一步的工作流程。工作流引擎对服务链中每一步的执行状态进行监控和记录,以此实现对执行流程的控制。
4.安全服务资源库
安全资源库作为系统的基础知识库,包括了安全策略、安全规则库、系统升级包、病毒库升级包、规则库升级包等资源,供服务编排引擎调用,以完成安全服务的编排。通过各安全网元的安全服务功能进行细化拆分,实现对安全服务能力的细粒度管控,建立安全运营任务与服务链的映射关系,为安全编排服务提供支撑。
服务链编排技术与ATT&CK模型天然具备良好相性,通过将两者结合,服务链编排模型能够更好地理解和应对攻击者可能使用的技术手段,并实现更有效的威胁检测、响应与防御,通过两项技术的综合应用,能够进一步提高安全团队的能力,帮助组织更好地应对云环境中复杂的网络攻击和威胁。
具体地讲,两者可以从以下角度结合开展进一步技术应用:
1.威胁检测和识别。服务链编排模型可以与ATT&CK模型集成,从实时收集的安全日志、事件和威胁情报中分析并识别与ATT&CK中描述的攻击技术有关的模型和指标,这有助于快速检测和识别潜在的攻击行为。具体流程为:
(1)服务链编排模型监控实时的安全日志和事件数据;
(2)使用ATT&CK模型作为参考,分析日志和事件數据以识别潜在的攻击行为;
(3)根据ATT&CK模型中描述的技术手段,例如恶意软件传播、横向移动、凭证盗取等,对安全事件进行分类和标记。
2.攻击响应和阻断。一旦服务链编排模型识别到ATT&CK模型中描述的可疑技术,它可以自动触发相应的响应措施,包括阻断攻击流量、隔离受感染系统、重置凭证、修复漏洞等。
例如,如果检测到凭证盗取技术,服务链编排模型可以自动重置受影响用户的凭证、通知安全团队和相关人员,并隔离相关系统以防止进一步的攻击传播
3.威胁情报整合。服务链编排模型可以与威胁情报平台集成,将来自ATT&CK模型的威胁情报与实时的安全事件数据结合起来,提高威胁检测的准确性,并更好地了解攻击者可能采用的技术手段。具体流程为:
(1)将来自威胁情报平台的ATT&CK相关威胁情报与实时的安全事件数据进行整合;
(2)将威胁情报与服务链编排模型集成,用于增强威胁检测和响应能力;
(3)根据威胁情报中的ATT&CK指标和攻击模式,优化服务链编排模型的规则和逻辑,以更好地检测和响应新兴的攻击技术。
4.攻击模拟和演练。通过与ATT&CK模型结合,服务链编排模型可以帮助组织进行攻击模拟和演练。它可以自动编排模拟攻击链,以测试和评估安全防御的有效性,并提供改进建议。具体流程为:
(1)使用ATT&CK模型作为参考,服务链编排模型可以自动编排模拟攻击链;
(2)模拟攻击链中包含ATT&CK模型中描述的攻击技术和战术;
(3)运行模拟攻击链,并评估现有的安全防御能力和响应机制的有效性;
(4)根据评估结果,提供改进建议和优化措施,以提高安全防御和响应能力。
上述仅是服务链编排技术与ATT&CK模型结合应用的部分场景,服务链编排技术因其可编排、可扩展、自动化响应的特性,可广泛应用于安全运维管理的全生命周期。
本文从云环境下安全运维管理面临的新特性出发,分析了服务链编排与事件自动响应需求,提出了一种服务链编排模型及其典型流程,结合ATT&CK模型提出了服务链编排技术的应用方向,能够解决云环境安防运维场景下虚拟安防资源弹性扩容、海量事件自动响应的问题。后续的工作主要包括规则进一步细化、提供适应不同场景的基础模型、扩充响应能力覆盖面、技术应用落地验证等方面。
作者单位:中国电子科技集团公司第三十研究所