安全自动化和IACD框架

最新推荐文章于 2024-08-20 08:30:00 发布

Keep-fight

最新推荐文章于 2024-08-20 08:30:00 发布

阅读量1k

点赞数

文章标签：安全自动化网络

原文链接：https://mp.weixin.qq.com/s/6IQD7pRsJ_tJ72umOnQiaA

版权

自动化

美国网络安全 | 安全自动化和IACD框架

安全自动化是安全从业者的梦想。安全主要解决两方面问题：时间问题（速度越来越快）和空间问题（规模越来越大）。安全归根结底是要在时间和空间这两个维度上，提高自动化防御的有效性。

安全自动化开始，深入到它的理论和实现框架IACD（集自适应网络防御）和ICD（集成网络防御）的细节，最后引出安全度量的问题

经过Gartner和业界的宣传，SOAR（安全编排、自动化和响应）作为安全自动化的实现技术，已经广为人知。如果非要说说IACD与SOAR的区别，笔者认为，SOAR更像一个具体技术平台，而IACD更像一种网络空间防御框架和理念。简言之：SOAR是术，IACD是道。而且，目前的SOAR主要应用于企业级场景，而IACD则一直瞄准跨企业场景的应用。两者更多的是配合关系。

关键词：OODA（观察-调整-决策-行动，Obeseve-Orient-Decide-Act）；SOAR（安全编排、自动化和响应，Security Orchestration, Automation, and Response）；IACD（集成自适应网络防御，Integrated Adaptive Cyber Defense）；ICD（集成网络防御，Integrated Cyber Defense）；CTI3（网络威胁信息、指标、情报，Cyber threat Information, Indicators, and Intelligence）；IOC（失陷指标）；Playbooks（剧本）；Spirals（螺旋活动）；

一、安全自动化

1、现代化安全防护思路

安全要解决时空问题，即在时间维度（越来越快）和空间维度（越来越大）上，提高网络防御的有效性。强调快速响应！

现代化安全防护思路包含以下3项要点：

整合已有能力：整合并利用整个防护体系中当前和未来的安全能力；
提高自动化水平：提高整个防御体系的自动化程度进而优化人力成本；提高整个安全防护体系对威胁的响应速度，即发现可疑行为，并快速将防护和响应策略分发到相应的防护设备。这包括两种主流方法：
- SOAR（Security Orchestration, Automation and Response，安全编排、自动化和响应）：代表性SOAR平台为Phantom（https://www.phantom.us/）；
- OODA循环（Obeserve-Orient-Decide-Act，观察-调整-决策-行动）：代表性OODA框架为IACD（集成自适应网络防御框架）。
增强共享功能：通过增强共享功能，来降低攻击者的灵活性。代表性技术是威胁情报，即通过组织之间的情报共享，来减少组织机构发现和检测到威胁的时间（即只要有一个组织机构发现了新的威胁，并共享威胁信息，其它机构就可以预防该威胁），进而达到事前预警、事中检测、事后溯源的多种目的。

关于SOAR：Gartner于2017年提出SOAR（安全编排、自动化及响应）这个术语，用以描述脱胎于事件响应、安全自动化、案例管理和其他安全工具的一系列新兴平台。从Gartner倡导的PPDR（识别-防护-检测-响应）过程来看，很多企业已经在防护阻断这一层面做了大量工作，无论是部署防火墙、防病毒、IPS等基于策略和规则的安全设备，还是基于行为和大数据分析的安全软件，然而却在安全威胁处理和响应上的能力上非常欠缺。所以，SOAR的目的是快速检测威胁、减少安全人工分析投入、做到快速响应，以提高安全运行效率。简言之，在PPDR中，检测（D）和响应（R）是SOAR的核心，目标直指SOC平台最被诟病的问题。

2、安全自动化的效果对比

对比传统和现代化两种威胁情报流程，可以发现：现代化流程比传统流程增加了一个步骤——自动化。而且还做了其它流程调整。

在传统威胁情报流程中：

因人工过滤IOC，而遗留不适用的IOC，为SOC造成多余的工作；
因人工过滤IOC，而误删除适用的IOC，导致漏洞未被发现；
人工的数据富化和消化，高度依赖SOC分析师的能力和勤奋；
人工的数据富化和消化，非常耗时；
关于IOC质量，不存在反馈回路。

在现代化威胁情报流程中：

必须规范化IOC，以确保数据的一致性；
必须仅包括适用的IOC；
必须用流行性、适用性、置信度、可能影响和推荐COA，来富化IOC；
自动执行所有高置信度、低流行性IOC的COA；
SOC分析师将对所有其他IOC作出回应；
基于SOC分析师行为，对情报源进行同意/否决投票；
情报分析师根据反馈，重新评估馈源的置信度。

3、安全自动化的工作流示例

在这里插入图片描述

按照序号1~8的步骤，就非常容易理解IACD带来的自动化效果。当然，安全自动化并不意味着不需要人的参与。比如，在COA（行动方案）的选择方面，就可以通过工单方式，增加人工审核过程，确保准确性。

笔者认为，这张图非常清晰地展现了安全自动化的工作机制和自动化效果。大部分人看过之后，会比较容易接受安全自动化的理念。

二、IACD（集成自适应网络防御）

1、IACD成功愿景

IACD由美国国土安全部（DHS）、国家安全局（NSA）、约翰·霍普金斯大学应用物理实验室（JHU/APL）于2014年联合发起。IACD定义了一个框架，包括参考架构、互操作规范草案、用例和实施案例。

IACD基于OODA（Observe-Orient-Decide-Act，观察-调整-决策-行动）循环：IACD试图将物理世界中传统的控制和决策方法，转换用于网络空间。IACD概念将OODA循环活动转换为感觉-理解-决策-行动，并设想通过一个公共消息系统在这些活动之间共享信息。

IACD理念认为，如果能够在速度（时间）和规模（空间）两个维度上实施OODA循环，则可以将网络防御时间从几个月缩短到几分钟到几毫秒。所以，IACD的目标是：通过自动化来提高网络安全防护的速度和规模；通过集成、自动化、信息共享，来显著改变网络安全防御的及时性和有效性。

2、IACD体系框架

IACD框架由传感器组成，传感器引入共享和可信信息，以触发编排服务，来响应网络事件。IACD框架包括以下8个组件：

在这里插入图片描述

上图是有内在顺序的，整体上是按照顺时针方向进行，即从传感器（S接口）->传感器接口->理解分析框架（SMAF）->决策引擎（DME）->响应行动控制器（RAC）->执行器接口（A接口）->执行器。

下图则把OODA这个闭环表现得更加明显了，它的整体方向也是顺时针的：
在这里插入图片描述

上图还非常明显得表现了OODA循环与IACD内部和外部的共享接口。该共享接口把企业内部和企业外部的边界划分得非常清楚，而且还区分了IACD内部（即IACD社区内部）和外部（即IACD社区外部）。正是由于IACD可以应用于企业内/外部和IACD社区内/外部，笔者才说IACD适用于企业级、行业级、国家级的多种环境。

进一步注意到，通过共享接口，不仅可以共享指标和分析结果，还可以共享COA（行动方案）和建议行动。这说明，IACD不仅仅是个威胁情报的共享工具，而且可以协调响应和行动，意味着可以在超越企业边界的更大网络空间中统一指挥、控制或协作。这才是笔者认为它对于国家级网络空间防御的价值所在。

在这里插入图片描述

此图中，安全编排是集中式的。建议读者按照图中序号1~10，一步一步地体会整个消息传递过程，可对IACD有更好的理解。

3、IACD编排方案

下图给出了一个针对IOC（失陷指标）处理工作流的IACD编排方案，给出了一个IACD系统的构成示例。

在这里插入图片描述

在右侧不同颜色的方框中，列出了可以选用的商业产品。只要凑齐相关产品组件，就可以搭建一套IACD系统了。可以看到，在编排工具中，有Splunk收购的Phantom平台。所以，从某种程度上看，采用SOAR设计的Phantom平台，也只是IACD体系的一个具体工具而已。

理解这张图的关键是时序，需要从左往右看，中间的深蓝色通道就是前面图8中的消息总线和编排控制服务。

下面的编排试点图，将时序关系表现得更加明显了。图中最上层的步骤，即解析->富化->评分->COA选择->COA自动执行，就是按照时间顺序进行的步骤。
在这里插入图片描述

4、IACD落地场景

由于金融行业对安全的要求更高，IACD在金融行业开展了跨企业的集成试点。如下图所示：

图中可见，通过一个行业性的情报共享中心，即FS ISAC（金融业信息共享与分析中心），通过自动化和编排过程，将经富化的威胁指标和情报，以STIX/TAXII的格式，发布到威胁情报门户；然后，再向各个银行发布威胁指标和情报；各个银行采取自己的自动化和编排过程，实施各自的响应工作流。也就是说，每个银行的自动化和编排过程可以是完全不同的，需要结合各自的安全资源现状，制定各自的响应工作流。这种与企业相关的定制化特点被称为BYOE（自带企业），简言之：你的企业由你做主。与BYOD（自带设备）的理念相似。

三、ICD（集成网络防御）

1、ICD与IACD的关系

前面介绍了IACD。IACD可以概括为一组编排服务，这些服务需要：

跨多源集成：跨多个不同的信息源进行集成；
自动化决策：自动化风险识别和行动决策；
同步行动：同步那些机器的行动，以符合组织的业务规则和操作优先级；
自动化信息交换：通过安全地自动化网络安全信息交换，通知给信任社区，以便其他具有IACD能力的合作伙伴可以快速处理这些信息。

而ICD（集成网络防御）则进一步扩展了IACD（集成自适应网络防御）概念，通过明确将CTI3共享生态系统与网络防御生态系统相集成，确保共享的信息是可消费的、可用的、可行动的。CTI3共享生态系统具体包括：DHS AIS计划、来自ISAC（信息共享与分析中心）和ISAO（信息共享和分析组织）的CTI3馈源、以及其他数据馈源。

2、ICD概念参考模型

ICD概念参考模型介绍了使各组织能够共享和自动响应到CTI3（网络威胁信息、指标、情报，Cyber threat Information, Indicators, and Intelligence）所需的概念、生态系统考虑和多方之间关系。这个概念参考模型还提供了对集成环境中SOAR（安全编排自动化和响应）的范围、优势和局限性的共享理解。

ICD概念参考模型由三个模型共同组成，每个模型都包含了ICD社区使用的共同指导原则、技术立场和模式：

编排模型（Orchestration Model）：展示了用于满足组织响应CTI3的活动的功能（functions）。
活动模型（Activities Model）：展示了与CTI3编排和在联邦管理员（Federation Manager）和联邦成员（Federation Members）之间共享活动有关的ICD能力。
能力模型（Capabilities Model）：展示了能力及其关系的详细信息，并显示了CTI3如何在联邦管理员（Federation Manager）和联邦成员（Federation Members）之间流动。

联邦（Federation）：是一个由个人或组织组成的群组，其出发点在于相信与合作伙伴进行CTI3的共享和合作，将有利于社区识别和响应攻击的能力。

ICD概念参考模型使用联邦模式，来使用两种类型的实体，并描述这种关系。

联邦成员（Federation Member ）：是消费来自联邦管理员的CTI3的任何实体。
联邦管理员（ Federation Manager ）：是指任何这样的实体，从至少两个或更多的联邦成员处接收CTI3，然后将收集到的CTI3合并并分发给订阅的联邦成员。联邦管理员可以由公共部门（如DHS（国土安全部））或私营部门（如ISAC（信息共享和分析中心）和ISAO（信息共享和分析组））的任何组织设立。

3、ICD编排模型（Orchestration Model）

编排模型由以下四个组件组成：

功能（Functions）：是选择的一些行动，这些行动由组织可能选择在其环境中部署的各种网络安全工具和产品所执行。
能力（Capabilities）：由网络安全工具或产品提供的能力，该工具或产品可以被编排。
编排（Orchestrate）：表示SOAR（安全编排、自动化和响应）产品，该产品负责以可重复、可审计、可扩展的方式执行能力，满足治理整个流程的组织策略。
活动（Activities）：组织承诺满足政策和治理要求的高层级过程。

一个组织不需要编排其环境中的所有能力；相反，根据组织的舒适程度和/或当前的运营情况，可以将能力连接和断开到SOAR产品。了解一个组织希望完成哪些能力，以及在该组织内有哪些功能（functions）和能力（capabilities），可以帮助完成这些活动，可以更好地了解编排如何为组织带来好处。此外，了解完成所需活动所需的功能和能力，可以更明智地购买安全工具和产品。

安全度量

安全度量是个悠久的话题，但似乎一直进展不大。但其重要性毋庸置疑：

缺少对安全绩效的度量，安全工作在向业务领导（CIO）汇报时，就难以体现安全价值；
缺少对安全配置、漏洞评分、威胁指标、事件表达、攻击模式的度量，不同厂商的安全产品之间就会存在对接困难，安全的集成工作就无法有效开展。

本节探讨的正是第2种安全度量。所谓安全度量，就是使用标准化的知识表示、枚举、交换格式、语言，以及共享标准的方法，以实现关键的合规性和一致性要求。

切记，IACD的首字母“I“是集成（Integrated）之意。这说明，安全自动化是以集成为核心的。前面一再强调的编排服务也是以集成为基础的。

甲方希望在安全产品选择方面获得足够的自由度，乙方希望实现更高的安全自动化程度，这两种需求本质上都是集成需求。

无标准，难集成。只有通过标准化和分离组织的操作、开发、维持工具和过程之间的交互，组织（不论是甲方还是乙方）才能在选择技术、解决方案、供应商方面获得极大的自由。

所以，标准化是安全度量的核心：为了使发现和报告的问题，跨不同工具时保持一致性和可组合性，必须对这些不同工具正在检查、报告、管理的事物有一套标准定义。

为了真正做好安全度量，需要将安全度量架构化：即将安全度量视为架构问题，以架构驱动安全度量，并使用系统工程方法来对其进行功能分解，识别需要完成的基本功能和活动，然后获得适当的技术来支持这些功能和活动。

安全度量的架构模块包括：

枚举（Enumerations）：需要共享的通用概念的标准化枚举。比如，CVE（通用漏洞披露）、CWE（通用弱点枚举）、CAPEC（通用攻击模式枚举和分类）就是非常知名的枚举。
语言（Languages）：用于编码关于如何找到通用概念的高保真信息，还用于交流该信息以实现人到人、人到工具、工具到工具、工具到人。比如，STIX（结构化威胁信息表达）、TAXII（指标信息可信自动交换）就是IACD中广泛使用的语言/格式。
知识库（Repositories）：通过内容知识库，以语言方式共享信息，供广大社区或个人组织使用，以最大限度地减少在工具、人员或两者之间交换内容时的意义损失。比如，ATT&CK（对手战术、技术与知识库）和CIS（互联网安全中心）安全配置基线就是知识库的典型代表。
采用的一致性（Uniformity of Adoption）：通过品牌/审查程序实现采用的一致性，这些程序可以帮助工具、交互和内容保持与公认标准的一致性。比如，**CVE兼容性程序、 OVAL兼容性程序、 CWE兼容性程序、 SCAP（安全自动化验证计划）**都是用于此目的。

上述安全度量的架构模块，可以进行组合使用。比如应用于配置合规评估、漏洞评估、系统评估、威胁评估等安全领域。笔者相信，给出下面这张安全度量架构图，读者就能理解安全度量的宏大性、困难性、重要性了。

在这里插入图片描述

下面给出了安全度量在不同安全领域的参考，仅供参考：

在这里插入图片描述

图中的每种类型都值得了解一下。比如其中事件协调类别的TAXII（指标信息可信自动交换）和STIX（结构化威胁信息表达）就已经成为事实上的标准，在美国得到了广泛应用。通常的做法是：用TAXII来传输数据，用STIX来作情报描述。而OpenC2则与STIX/TAXII标准协作，共同形成一整套针对网络安全领域机器到机器通信的自动化解决方案。