安全基线建设指南

 安全能力框架

1. identify：资产基本信息清点、确定资产需要符合的法规、供应链风险评估、资产风险评估等

2. protect：资产基础防护措施，防护责任划分，访问控制（网络、人员、账号），数据安全措施等

3. detect：网络、人员、恶意代码的持续检测等

4. response：事件响应流程、负责人员、COA等

5. recover：资产灾备、恢复方案、总结经验等

安全基线应该由业务团队和安全团队共同参与，并且其中有大量的内容和工作是依靠人力施行的，包括：资产清点、评估业务内部和外部的风险、确定业务影响的范围、人员职责和意识的培训等。但同时也是有很多可以通过信息化手段进行管理的内容，包括：资产清点、分类、识别并记录资产漏洞、建立访问控制策略、数据保护策略、建立完整性检查机制等。更为重要的是安全基线不仅是给人看，它也是“威胁分析”和“事件响应”过程中的重要输入。所以需要建设一套安全基线配置系统对资产的基线进行可视化的管理。

1. 让资产的防护状况对使用者透明可视；

2. 作为威胁分析知道何为异常，让事件响应知道应该找谁处理。

需要注意的是，基线不应该是一成不变的，而是应该随着事件响应的流程持续修正的。这块会有更详细的讨论。

安全基线系统的建设方式不限于如下方式：

将企业中已有的各种安全系统、软件中与基线相关的部分实时更新到CMDB中，由CMDB对资产的基线进行维护。威胁分析平台从CMDB中读取资产的安全基线。

CMDB汇总模式

通过SCM对内部的多种安全能力的基线进行统一配置和下发。威胁分析平台可以通过接口的方式读取SCM中的基线配置。这同样要求SCM与多个平台、系统对接。

从市场的角度来说，商业公司主推的应该是第二种，毕竟市场的发展需要企业推动，而企业肯定希望能够在用户的IT中占据更有利的生态位。但是第二种方案在落地时显然面临着设备利旧的问题，要么用户忍痛割接，要么厂家忍痛集成。而部分具备较强能力的组织可能选择第一种方式，或者是更优的方案。

SCM统一管理模式

这两种方式都需要有大量的开发工作，但这种付出是值得的，只有通过建立安全基线才能牢固把握实体边界延伸到什么程度以及弱点在哪里，应该如何修复。

SCM中的安全基线建设

“安全基线”的建立需要在组织内部有一个强有力的团队，他们应该对组织内部的数字资产分布情况有足够的了解，具备分辨资产价值的能力，熟悉网络安全相关法律法规、对各种安全威胁的应对方案具备基本的认识。而这些往往是政府、企业内部安全参与者缺少的。所以整个安全自动化框架在组织内部落地时，很有可能就像被吹上天的各种“中台战略”一样，用户认知不断改变，需求不断变化，建设者深陷其中，最终无法落地。这并非完全无解，但也肯定是安全自动化体系早期落地最大的难点之一。

NIST风险管理框架 RMF

SCM中应该以资产为单位，建立安全基线规则库，并对基线的内容进行持续的监控，检测资产的基线是否持续有效，是否已经被突破或被人为篡改。安全基线的内容可以从依照CSF框架从IPDRR 5个维度着手建设。

在以资产为核心建立安全基线之前，应该先问一些基础的问题：该业务不可用1个小时、1天会对组织造成什么样的影响？哪些机密数据会成为入侵者的目标？资产可用性或完整性出现问题时，我可以用哪些手段对其进行恢复？资产应该符合哪些国际、国内法规？哪些风险会导致攻击者进入到内部？资产是否设置了最小的访问控制？我能检测到网络和主机中哪些数据？内部人员对于安全事件处理流程和自身的责任是否有足够的认识？

在追寻这些问题的答案时，也是安全基线开始建立的时候。

NIST标准在识别能力上需要建设的内容包括：

• 识别组织内的物理和软件资产，以建立资产管理计划的基础

• 确定组织支持的业务环境，包括组织在供应链中的角色以及组织在关键基础设施领域的地位

• 识别组织内建立的网络安全策略以定义治理计划，并确定有关组织网络安全能力的法律和法规要求

• 识别资产漏洞，对内部和外部组织资源的威胁以及风险响应活动，作为组织风险评估的基础

• 确定组织的风险管理策略，包括建立风险容忍度

• 确定供应链风险管理策略，包括优先级，约束，风险容忍度和用于支持与管理供应链风险相关的风险决策的假设

在SCM系统中，识别能力应该为资产建立的基线包括：

1、即明确资产安全建设的目的，需要满足的法律法规、合规性要求，或为全面降低风险应该实施的安全措施。企业可以为了满足等保、PCI DSS等要求而建立一个全面而严格的基线，也可以仅仅为内部测试系统建立一个满足最低底线的基线。对于SCM而言，即该资产应该选用什么样的基线评估模板，以及应该定期执行哪些基线检测项。

2、资产的核心（服务器、数据库、应用、机密数据等），所有在可用性、机密性、完整性遭到破坏后都会导致组织遭受损失的数字、物理资产都应该纳入保护范围。这些资产内容都应该录入CMDB或SCM的资产管理数据库中，以方便持续对其状态和风险进行监控。

3、业务/资产负责人、联系方式。在威胁分析发现安全事件、以及系统需要执行响应流程，需要人工进行干预时，需要能够在第一时间将事件信息和决策内容发送给该负责人。通知方式不限于短信、邮箱等。责任人也是业务基线计划的执行者，当上级对业务的合规性、安全性进行评估时，不合规的项目需要责任人进行整改。责任人应该是资产的一个属性，且信息应该及时补充到资产中的。

4、业务运维负责人。满足最小权限要求的运维访问控制，对人员访问员、登录账号、安装程序、命令执行等行为进行监测，从而发现不合规或异常事件。运维基线同样可以通过运维堡垒机同步到CMDB或SCM控制策略的方式实现。

5、从洛马的杀伤链或mandiant攻击生命周期等攻击者的视角分析资产哪些弱点可能被利用，分析的结果也将在防护建设的阶段指导策略配置。在SCM中主要对资产的信息系统漏洞和系统基线配置进行维护，包括漏洞的发现、持续监控、以及分级。系统基线配置项内容建立和持续检测。当前有很多的系统可以对漏洞和基线配置项进行管理，这些脆弱性的信息将在威胁分析和事件响应阶段持续发光发热。

防护能力建设是保障资产安全的基础，也在事件响应阶段作为遏制事件的重要手段。

NIST定义的防护能力建设内容包括：

• 组织内部的身份管理和访问控制保护，包括物理和远程访问

• 通过意识和培训（包括基于角色的特权用户培训）增强组织内的员工的能力

• 建立与组织的风险策略一致的数据安全保护，以保护信息的机密性，完整性和可用性

• 实施信息保护流程和程序以维护和管理信息系统和资产的保护

• 通过维护保护组织资源，包括远程维护，活动

• 管理防护技术以确保系统和协助的安全性和弹性与组织策略，程序和协议一致

而在IACD框架中也同样对组织应该具备的安全能力给出了指导：

SCM中应该集中的防护基线应该包括：

6、建立基础的网络访问控制，网络访问防止遵循最小权限原则，即仅设置允许访问的源，且不能开放整段的端口。网络访问控制需要注意的是不要遗漏访问路径，在互联网边界、VPN专线接入、东西向等可能访问到的位置全部设置访问控制。SCM中记录资产开放的访问源，并在事件响应中能够第一时间进行阻断。

7、流量分析，使用netflow、sflow等协议采集网络流的IP、端口、传输字节数、时长等元数据，在应对无恶意代码类的攻击，如0day漏洞利用、数据窃取、使用正版软件的远程控制等恶意行为时，则只能依靠IOC+行为分析来进行判断。SCM中应该为资产的网络访问行为建立基线。

8、IPS/IDS，基于签名或特征的网络威胁检测，能够识别出已知的攻击模式，在防护、响应和重建阶段均能发挥出重要的作用。SCM记录资产的IPS、IDS，记录检测事件，实现事件响应。

9、深度包检测，完整包检测和netflow搭配，使用netflow记录网络行为，对不符合基线的异常访问流量进行全内容分析。全内容分析需要解析出数据包的内容，并能根据协议、内容重新建立索引。全内容的检测

10、web内容防护，针对WEB应用 OWASP 攻击防护。

11、邮件内容过滤，对付钓鱼攻击的重要手段，能力的建设集中在对于恶意邮件的屏蔽上。

12、恶意代码检测，基于签名和沙箱的检测方式，查看恶意软件的行为，网络连接、进程信息、对系统关键配置的修改等。

12、终端访问控制，同网络访问控制，对流量的放行和阻断不仅是威胁分析的重要输入，也是在事件响应阶段的重要遏制手段之一。SCM中应该建立所有终端的访问控制策略。

13、终端入侵防御，对于终端的漏洞利用、入侵行为的防护。

14、终端防恶意代码，对内存和磁盘中恶意软件、配置、工具进行检测。

15、应用白名单，白名单和黑名单的设立，不仅能减少系统出现事故的概率，同样也是在事件响应阶段遏制攻击的重要手段之一。

16、建立数据保护的策略，不限于数据访问权限控制、敏感数据的加密、静态数据、动态数据泄露检测、数据篡改检测。

检测能力是生成内部情报的核心。只有采集到足够多的异常指标和行为才能生成高价值的内部情报，同时在获取外部的情报之后，威胁分析历史数据判断的受害资产，同样依赖检测到的指标和行为。

NIST定义的检测能力建设内容包括：

• 确保检测到异常和事件，并了解其潜在影响

• 实施安全连续监视功能，以监视网络安全事件并验证包括网络和物理活动在内的保护措施的有效性

• 维护检测流程以了解异常事件

SCM中应该集中的检测基线应该包括：

17、对网络流量检测能力

通过netflow流量分析了解网络活动、通过IDS特征检测出已知攻击模式、通过全内容检测保存不符合基线的异常数据流。目前有很多流量分析类的产品可以提供对应的能力。

18、对主机事件检测能力

主机内配置信息的检测、系统注册表等重要文件和目录完整性检测、内存和磁盘恶意代码检测、主机进程信息、主机内应用列表和版本等信息的检测。终端的检测能力综合了杀毒、加固、SCAP检测等核心内容，是检测恶意软件、C2类入侵的重要手段。

19、敏感数据移动检测能力

通过DLP检测到敏感数据存储到低安全级别节点、或是通过邮件、FTP等在向外传输时，甚至是敏感数据所在的节点的异常大流量持续对外的加密数据传输等行为，都是高危险级的事件。SCM主要存储DLP的策略基线。

20、人员行为监控

人员登录系统、访问外部URL、发送邮件、邮件附件等检测的能力。人员行为的检测可能来自多个系统之中的数据，包括零信任、用户行为控制、终端准入等。

检测能力的建立对于未知威胁的分析尤为重要，威胁分析模块需要从全流量分析系统、CWPP、DLP、零信任中采集各种信息作为情报分析的核心输入。至于威胁分析系统如何将采集到的指标结合IOC生成威胁情报，则是后续主要讨论的内容。

响应是事件响应的遏制和补救能力。

NIST定义的响应能力建设包括：

• 确保事件发生期间和之后执行响应计划流程

• 在活动期间和活动结束后与利益相关者，执法机构和外部利益相关者进行沟通管理

• 进行分析以确保有效响应并支持包括法医分析在内的恢复活动，并确定事件的影响

• 进行缓解活动以防止事件扩展并解决事件

• 组织通过结合从当前和以前的检测/响应活动中汲取的教训来实施改进

在自动化安全体系中，响应由事件响应模块负责，在安全事件确定后第一时间执行的playbook，通过接口（例如 openc2）调动防护能力对事件进行遏制。

21、遏制的临时举措包括：防火墙等禁止恶意IP远程访问资产、终端防护清除制定md5恶意程序、禁止系统主动对外的访问、边界阻断敏感数据对外的传输、断开有重大bug的系统的网络、异常用户踢下线等等。事件响应中再详细讨论。

22、清除系统中残留后门、修补系统漏洞、修改管理员账号密码、还原系统、还原文件等。

恢复阶段是事件的善后阶段。

NIST定义的恢复能力建设包括：

• 确保组织实施恢复计划流程和程序，以恢复受网络安全事件影响的系统和/或资产

• 根据汲取的经验教训和对现有策略的评估来实施改进

• 在网络安全事件恢复期间和之后，内部和外部通信得到协调

响应处理之后不代表事件已经处理结束，后续的学习经验教训和重建工作才是长效的防护机制。这依赖人员参与的基线重建工作和可自动执行的情报共享工作。

23、总结攻击者行为，重新建立新的安全基线，或是将事件响应过程的产物（IOC）更新到防护能力的特征库中。这块属于SCM的基线管理工作，通常需要人工参与决策。

24、通过标准格式和共享协议与企业分部、外部组织、研究单位共享脱敏后的威胁情报。自动化体系中的威胁情报模块负责内部与外部的情报交流。

建立安全基线工作最大的意义在于，将资产原本分布在各种能力中的安全策略统一管理到SCM中。不仅让管理者对资产的防护状态一目了然，也有助于威胁分析模块对资产的异常指标进行分析。事件响应模块在生成COA时，也能知道可以通过哪些手段遏制事件发展。而且为资产建立良好的基线之后，已经能从源头减少大部分的风险。因为大部分情况下并不是攻击方太厉害，而是防守方在一些基础的配置上出了问题，且没有及时发现。安全基线的建立能在一定程度上解决这个问题。

安全基线的建立涉及到5大领域、数十种安全设备，想在一开始就全部建好不太现实，在起步阶段需要依赖SOC、安全服务平台这类的产品进行改造，结合资产管理系统建立从基础的识别、防护和检测能力。再以威胁情报打通SOAR，实现概念的落地。

既然是基线，就应该支持对其符合性进行评估和持续的监测。借助内容自动化（SCAP）的各种checklist语言、可利用标准检测引擎，实现自动化的安全基线的评估。checklist语言编写的XML文件，可自定义基线检测项，检测值、推荐的整改措施、reference等。并且只需简单修改XML文档即可实现基线内容的自定义。

checklist语言对于基线控制点的自动评估

通过评估后生成的报告，资产防护状态、僵尸主机、风险主机、不合规主机、未受到防护主机等状况就一目了然。这不仅实现了资产的在线基线管理，对威胁分析、事件响应模块同样大有好处。

类似 cloud conformity、armor的配置评估类产品

AWS中的配置评估 

转载微信：security_xc

翻译供稿：security4

投稿邮箱：[email protected]