“ 安全验证,就是要确保安全防护水平处于一个稳定的区间。”
这些年随着网络安全实战化的推动,企业纵深防御体系日益完备,持续的安全运营成为防守方的普遍共识,而安全验证理念可以说是当下安全运营领域最为热门的领域。
笔者从前几年开始做安全验证的出发点,是在做日常安全运营的时候,相信大家都被问过类似“今天的攻击数量为啥多了?为啥少了?”的问题。这个问题并不好回答,因为防守方发现的攻击数量与外部攻击和自身防护水平2个变量都有关,如果无法确保自身防护水平处在一个稳定的区间,单纯说是外部攻击的变化,是难以令人信服的。
安全验证,就是要确保防护水平始终处在一个稳定的区间。只有控制住了这个变量,外部攻击变化的分析才值得参考。
01
—
从“高配”到“标配”
今年4月,Gartner发布了2023年9大主要网络安全趋势,安全验证首次作为安全趋势出现。Gartner指出,“安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何利用已识别的威胁暴露,以及安全防御体系和流程的实际应对情况。蓝队和红队工具正朝着高度定制和灵活入侵的方向融合,以更有效地测试企业的防御能力,包括安全控制手段和监控工具的有效性和配置。由此产生的验证结果能够让跨团队决策更轻松,也帮助组织决策者分配相关资源。”
作为一项新的技术趋势,先行开展安全验证实践的企业会作为安全运营工作的亮点进行宣传和展示,在一些行业的安全能力成熟度的指标体系中,安全验证也是作为较高能力的评价指标。从实际情况来看,网络安全工作一般是包括建设、运营、验证三个阶段,进入到常态化验证阶段,代表着企业已经基本完成了建设和运营阶段的工作,开始关注建设和运营的质效,属于“高配”。但随着安全形势的快速变化,部分行业主管单位已有要求,安全验证迅速从“高配”到“标配”。
在笔者看来,安全验证的理念其实很朴实,与其他IT运维领域有异曲同工之处,例如变更会关注变更有效性,监控会关注监控有效性等等,安全防护措施的有效性同样需要验证。不同之处在于,安全事件低频、隐蔽,失效的安全措施防守方往往无感,直到安全事件发生,或者在演练中被攻击队攻破。安全验证可以通过持续模拟各类攻击(类似混沌工程)将安全失效的问题显性化,避免直到发生了安全事件才发现各类安全防护措施已长期失效。
02
—
安全失效与漏洞
安全验证的前身是BAS(入侵和攻击模拟),是Gartner 2021年提出技术趋势,今年Gartner将BAS作为一项验证工具囊括在安全验证这一整体趋势下。BAS刚出现的时候,业内容易将其和自动化渗透测试、漏洞扫描混淆,因为形式上都是发送一些攻击报文,但是渗透测试、漏洞扫描找的是资产的漏洞,安全验证或者BAS找的是防御体系的失效点。
所以,某种程度上,安全失效也可以认为是一种漏洞。如果顺着这个理念,很有意思,漏洞有CVSS评分、高、中、低分级,还有漏洞优先级技术(VPT)将需要修复的漏洞进行优先级排序和流程优化。那么防御失效点是否也可以参照这种理念分类分级进行修复,对于一些影响全局防御有效性的失效点可以参照特高危漏洞,需要在24小时内解决,对于一些影响局部的防御的失效点可以参照高危漏洞时效进行修复。
漏洞无法避免,防御失效也无法避免,因为随着安全的持续建设,我们的纵深防御体系、安全运营体系越复杂、耦合度越高,出现防御失效的可能性就会越大。笔者在安全运营中遇到过常见的防御失效点包括:安全设备可用性问题、各类安全设备检测能力问题、镜像流量缺失、流量未解密、分流网丢包、安全设备容量不足、安全设备日志至SIEM延迟、日志格式变化导致SIEM解析失败、SIEM联动SOAR失效、旁路阻断失败等等。
在漏洞情报运营上,安全验证可以贯穿攻防两侧,形成闭环。例如一个新的0day漏洞出现POC后,除了漏洞领域的修复外,安全验证可以拿着这个POC去检测当前防御体系的检测能力,并协助制定新的检测规则。也正是因为安全验证可以贯穿攻防两侧的特点,做安全验证也是甲方新员工快速入门安全运营的路径。
03
—
安全验证的一些实践
1、“点”验证,侧重各类安全探针单点防护有效性:
安全设备可用性监控:将安全设备可用性指标纳入一体化运维监控,实时发现设备可用性异常。
镜像流量缺失测试:梳理流量镜像拓扑,在每个镜像区域找一个典型应用,发送无害化的攻击验证请求,验证安全设备能否收到告警,可发现某个镜像区域流量缺失的情况。
流量丢包测试:在镜像点缺失测试基础上更精细化,重点关注验证测试报文发出与接收的比率是否符合预期。
旁路阻断率测试:验证旁路阻断成功率是否符合预期。
各类攻击POC测试:利用自主积累的常见漏洞利用POC、自主设计的攻防场景对各个安全设备(流量、主机、应用、终端)进行验证。PS:本项是厂商的强项与优势,甲方往往难以全面设计各类攻击场景,特别是本身未经历过的攻击场景。
2、“线”验证,侧重验证整个安全防御链路联动有效性
对于已经实现“监控”、“研判”、“响应”全链路自动化防御的企业来说,这一维度的验证,更加关注整个防御链路的有效性,从各类探针监控发现攻击、到探针发送日志到SIEM、到SIEM按照制定的usecase产生事件、到SIEM联动SOAR剧本进行处置,这条链路中涉及多个环节,任意环节的失效都会影响到整体的防御效果。
我们自主研发了一套全链路验证系统,与上述几个关键环节节点的安全设备进行API对接,攻击报文发出后,根据攻击特征、源地址、报文标识等,调用API接口,自动检索防御链路上各类安全设备的告警日志,判断防御是否有效,例如在各类探针侧未生效,我们定义为一级失效,在SIEM侧未生效,我们定义为二级失效,在SOAR联动处置侧未生效,我们定义为三级失效。若存在失效,全链路验证系统自动定位失效位置,运营人员及时修复防御失效点。
3、“面”验证,侧重验证整个安全防护体系、运营体系有效性
这个维度的验证更加关注企业一体化安全运营机制是否有效,分支机构是否能够发现攻击并按照运营流程进行联动处置,一些实践的场景包括:
触碰分支机构蜜罐,验证分支机构是否进行运营,及时发现异常并报告,同步记录响应时间作为量化评价。
验证分支机构互联网边界的检测、拦截能力。
常态化开展社工演练,验证员工安全意识、社工应急处置流程。
“突击式”攻防演练等等
04
—
做好安全验证的三大核心能力
总结一下,做好常态化、高覆盖度、自动化闭环的安全验证关键需要3大核心能力。
1、攻防能力。攻防能力决定有效性验证的覆盖度,是否能够根据最新攻防技战术设计出相应验证案例和场景。
2、工程化能力。工程化能力决定有效性验证工作是否能够自动化闭环。在攻击面持续扩大、防御体系日益复杂的背景下,手工验证的方式难以为继。
3、运营能力。运营能力决定有效性验证工作是否能够持续改进,是否能够将各类有效性验证工作形成指标,使得防护能力处于一个稳定的区间。
2024新年快乐,所愿皆得!