当前位置:文档之家› 基于可视化的安全态势感知

基于可视化的安全态势感知

基于可视化的安全态势感知-世博会业务系统的信息保障郁郎关键词:网络安全;信息保障;安全态势;安全可视化;业务影响度1.引言被誉为“经济、科技、文化”奥林匹克的世界博览会,将于2010年在中国上海举办,作为信息时代下的一届世博会,上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。

与此同时,上海世博会还在世博会历史上首次尝试“网上世博会”项目。

可见,信息系统是上海世博会筹办工作的中枢神经,信息安全对于世博会的成功举办具有至关重要的意义。

由于空前的规模,世博信息安全是一项复杂工程,涉及面相当广泛,从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。

如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。

在经典的IATF纵深防御理论中,针对类似于世博会这样大规模信息系统的运营,提出了“信息保障”[1]的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。

人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?都是我们在保障信息安全时所面临的严峻挑战。

为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!”,有效提升人对目前安全态势(security situation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。

本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点,分析基于“ 业务影响程度”(mission impact)的安全态势评估方法,阐述如何以保障和促进世博各项业务系统的运转为目标,使用可视化技术完成基于“业务影响程度”的安全态势感知。

2.什么是安全态势感知(Security Awareness)?“一幅好图胜过千言万语!”这句话体现了安全态势感知的关键-可视化,一定是通过图形的方法把安全数据展示给人,人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力,计算机处理十万条安全事件的速度远比人快上千倍万倍,但从一幅图中发现其变化的趋势以及深层次的原因,人们的直觉却强大的多,这种客观的直觉我们称之为“态势感知”,通过计算机数据能力,再采用不同的算法把安全数据图形化我们称之为“安全可视化”。

安全态势感知本身一个系统工程,原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。

作为信息融合的过程,安全态势感知是一个从底层数据到抽象信息,到获取高层知识的过程。

图1:安全态势感知的数据流图如图2所示,数据源所提供的数据经过预处理、信息融合后,进入分析评估阶段,其中预处理阶段主要目标是数据的采集,信息融合阶段的主要目标是去伪存真,分析评估阶段的主要目标是态势感知。

分析评估阶段成功的关键是“人的有效参与”,安全可视化是达到这一目标的主要途径,这也是本文所讨论的重点所在-基于可视化的安全态势感知,包括数据变换、图形布局、交互和动画四个方面的内容[2]。

图2:基于可视化技术的安全态势感知四步曲3.什么是基于业务影响(mission impact)的安全态势评估当安全事件发生时,对它们的应急处理,最重要的首先应该是迅速评估这些安全威胁给我们的业务所带来的影响。

常用的评估方法有两种:由下而上的资产导向式或者自上而下的业务导向式。

资产导向式以构成内部信息系统的资产为切入点,分析如果因为安全问题这些资产的不可用或者不可靠将对业务的所照成的负面影响。

这里的信息资产可以是具体的硬件设备(如:网络设备、服务器等),也可以是提供某类效能的软件(如:数据库、软件平台、电子邮件等),总之它们为业务系统提供必要的基础支撑。

分析的过程中需要建立安全攻击事件或者违规行为与资产所提供的效能失效之间的因果关系,如拒绝服务攻击导致数据库不可用、蠕虫病毒导致网络连接异常。

不仅要考虑直接的影响而且要考虑资产之间的依赖关系所带来的间接影响,例如:认证服务程序无法启动影响内部的邮件无法转发、网络带宽的下降导致视频会议系统的通话质量。

业务导向式分析的目标是发现某项业务正常运行所必须保障的资产。

这种自上而下的分析方法从业务目标入手,通常一项业务的正常运作需要各项子业务系统的保障,这就涉及到业务的分解,例如世博的RFID票务系统由制售票、验票监控、展位观众记录、统计分析、系统维护、网上注册等多个子系统构成,要保障票务的正常,需要保障每个子业务系统正常,因此只有理清业务结构,业务分解的足够细致,最终建立的评估模型才能精确,即,建立信息基础设施与各项业务的准确逻辑关系,这些设施就是我们需要保护和保障的目标。

不论资产导向式还是业务导向式最终都有着殊途同归的效果-建立业务(mission)、子任务(sub‐task)、资产(asset)之间的关系模型,通常用业务树(mission tree)模型表达这一关系。

业务树[3]是为评估系统总体安全态势而建立,由一个组织所要完成的业务目标(mission)及完成这些目标所依赖的信息资产所组成的树状的层次化结构。

树的根结点为总业务目标的概括,与子任务目标(task)形成层次结构,树的叶结点为完成目标所对应的资产,叶结点允许重复出现(由于同一个资产可能被赋予不同的任务目标)。

任务树模型表示为M = O∪ A ,其中O = {o1, o2 ,…om} 为完成任务的目标集合,A = {a1, a2 ,…an} 为完成目标的资产集合,如图3所示。

图3:业务树模型4.基于3D技术的业务影响可视化分析作为一种计算机辅助评估技术,安全可视化在解决“如何基于业务的安全态势评估”的道路上另辟蹊径,巧妙为把底层的数据转变为人可以感知的信息,下面本文将以此作为安全可视化态势感知的一个典型应用场景,详细分析其内部的工作机制和最终所能够带来的效果。

3D可视化最大的技术优势在于多维度特性与透视特性:“多维度”指不同的数据平面可以在同一个空间中同时展示出来,观察者可以发现不同数据之间的关联;“透视”特性则可以减少图形的视觉冲突,因为观察者可以从上、下、前、后、左、右任意角度观察图形。

为了展现安全事件对业务的影响,按照前面阐述的安全态势可视化过程,第一步需要定义可视化目标:1.能够展现各种资产属性,包括:网络设备、服务器、终端主机、数据库、关键文件、通讯协议、电子邮件等的各项属性,如分类、重要程度、地理位置或者网络拓扑;2.能够展现各种资产的关系以及依赖,资产对某项业务的必要关系,业务与子业务的关系以及业务之间的时间联系;3.能够展现安全告警,告警的分类、告警的级别、告警的多少、告警的所针对资产进而关联到告警所威胁的业务;4.能够展现安全漏洞,漏洞的分类、漏洞的风险等级、漏洞所涉及的资产进而关联到漏洞给某项业务带来的风险;针对以上提出的可视化目标,下一步的工作是可视化场景的设计,即完成数据到场景的变换。

资产数据库或者事件数据库中的字段在3D空间中用不同的几何体表示,例如:一个立方体代表一个安全告警或者代表一台终端主机、一个球体代表一种与业务相关的能力。

通过球体和立方体之间的连线表达安全告警对业务能力的影响或者信息资产对业务能力的支撑。

图4:资产与其支撑的业务能力图4表现了一种3D的场景,平面上的立方体代表信息资产,如:主机、WEB服务器、数据库、电子邮件系统等。

立方体的大小代表资产对于组织机构完成其业务使命的重要程度,当然也可以通过颜色来表达。

立方体在平面上分布的依据是其所处的地点和其依赖的网络协议,分别由平面的Y轴和X轴代表。

在平面上端的球体代表组织机构的业务能力,完成该业务能力所必须的资产通过球体到对应立方体的连接线表示。

图5:业务细化到子任务后的业务树业务树模型需要对业务目标进行细化分解,为了满足可视化业务树的需求,3D空间中需要引入新的平面以完整表达业务树,如图5就是在图4基础上进一步分解的结果,新增加的有球体形成的环带代表不同类型的子任务,他们的完成保障了更上层环带所代表的业务的完成。

“球体+底平面”的可视化场景除了可以用来展示业务树的层次关系之外,还可以用来展示安全告警与资产、业务之间的关联。

这个用例中,中间层的球体代表安全告警并用颜色来区分它们的严重等级,顶层的球体代表业务并用颜色来表示其当前关键状态对业务的影响程度。

本文依据资产面临的威胁,参考攻击分类方法将资产可能达到的关键状态[4]分为13 种类型,如表1所示:关键状态描 述影响程度PRIVILEGE_VIOLATION 窃取或者非法提升系统访问权限 高高 DENIAL_OF_SERVICE 阻断或防范对内部资产的访问,包括主机、应用、网络服务或系统资源,如数据或者外设中 ACCESS_VIOLATION 违反安全策略访问、引用与获取数据信息、网络流量、操作系统服务等高 INTEGRITY_VIOLATION 违反安全策略,修改或破坏数据与可执行内容中 SYSTEM_ENV_CORRUPTION 未经授权修改系统或者系统资产的运行配置信息USER_ENV_CORRUPTION 未经授权修改受控网络域中的用户配置信息 中ASSET_DISTRESS 系统资产服务功能衰减或彻底丧失,如机器高非正常关闭、系统进程破坏、文件系统或进程表空间耗尽中 EXFILTRATION 试图通过非授权连接通道输出数据或者命令接口BINARY_SUBVERSION 木马或者病毒程序的活动 低 CONNECTION_VIOLATION 违反网络安全策略到网络资产的连接企图 低 PROBE 试图收集受控网络的资产或服务的信息 低 USER_SUBVERSION 试图获取本地管理员用户权限 中中 SUSPICIOUS_USAGE 重要的异常或可疑活动行为,会引发安全事件,但不可归于其他类别表1:关键状态及描述这样,使用“球体+底平面”的可视化场景去感知基于业务树模型评估的安全态势,关键就是根据组织机构所要完成的业务目标,确定资产的关键状态以及导致这些关键状态发生的安全告警,即威胁,从而建立安全告警与业务的联系。

例如,一台服务器必须保持可用性,因此拒绝服务为其关键状态;非授权访问状态对于一台必须保持机密性的主机来说就是关键状态;而恶意代码的执行和权限提升对所有目标来说都是关键状态。

图6:安全告警的资产分布图6又是一种新的可视化场景‐“双平面”,底层平面与前面介绍的可视化场景一样表示资产,这里用户可以指定筛选条件过滤出只与“后勤”业务相关的资产,顶层平面展现按时间周期进行分类统计后的安全告警,通过把安全告警投射到下层的资产平面以观察告警的分布情况。

相关主题