2.1入侵响应系统体系结构
2.2入侵响应系统的目标
-
合理性。响应决策不仅需要评估安全事件及相关影响因素,还要考虑代价、资源约束、技术可行性、响应效果等各种因素,力求以最小的代价达到尽可能高的安全级别保护,能够有效阻止入侵行为,降低系统损失。 -
自适应性。由于入侵行为的不断变化以及系统环境的不确定因素,仅仅通过简单的静态决策表来响应是不够的,应该根据响应的效果评估,动态调整响应策略。 -
及时性。现代黑客逐渐使用自动化攻击的手段,对响应的速度提出了挑战。 -
安全性。入侵响应系统应保证自身的安全性,不被攻击者控制。
2.3入侵响应系统的分类
2.4入侵响应系统的输入输出
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.5入侵响应系统的核心
3.1攻击树、攻击图
3.2一种策略选择算法介绍
-
评估系统资产
-
评估响应成本
-
安全设备缺乏对内网环境的可见性。可见性分由多个方面组成,如:资产的可见性、漏洞的可见性、网络拓扑的可见性等等,现代企业的SOC一般被动地收集大量信息,但是缺乏对这些信息的进一步认知,例如,不清楚资产的重要性就无法进行针对性保护,缺乏对漏洞的可见性就会不清晰自身的薄弱环节,更容易陷入到告警疲劳之中,缺乏对网络拓扑的可见性就会丧失对攻击者的攻击路径和防御路径的判断,根据一项调查表明,网络环境的可见性是全球SOC的通病,也是分析人员公认的痛点之一[6]。更近一步,内网环境可见性的缺失会影响到各种防御措施的量化评估工作。 -
缺乏动作影响因素的清晰的认知和量化。如,很多研究类论文称IRS系统需要考虑攻击代价与防御代价,但是动作的防御代价按常理来说应该由人工参与度、攻击的严重性、误操作严重性等等一系列因素构成,至今为止该因素的构成因素并未达成共识,并且没有一个合理的评估方法对这些因素进行量化;另一方面,动作的执行代价与保护的目标息息相关,信息系统的安全性往往有机密性、完整性、可用性(CIA)三方面构成,不同的保护目标对于动作的执行代价也存在一定差异。总之,由于无法量化,自动化响应往往也成为空中楼阁。 -
误报的控制。基于大量误报的自动化工具对于安全运营来说无疑是一场灾难,虽然有一些模型会把告警的置信度进行评估,只对高置信度的告警进行处置,但是置信度如何计算,计算结果是否可靠等问题依然很具挑战性。 -
动作采取的实时性。动作采取的延迟越大,内部网络所遭受的风险越大,据有关研究表明[5],对于一个熟练的攻击者,响应延迟为10小时,入侵的成功率为80%,20小时,成功率为95%,30小时,攻击者几乎没有失败过,而目前业界在使用的SOAR,绝大多数场景还是在攻击成功,损失造成之后再进行响应,其动作的实时性还是有待提升。
天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。
本文始发于微信公众号(互联网安全内参):自动化入侵响应的理想与现实
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论