1运营商的资产面临的信息安全威胁
(1)2014年10月,“沙虫”漏洞(CVE-2014-4114),攻击者利用WindowsOLE远程代码执行漏洞,通过精心构造诱使用户执行文件触发远程代码执行漏洞,进而控制用户操作系统主机。
(2)2014年9月,“破壳”漏洞(CVE-2014-6271),攻击者利用Bash漏洞可绕过环境限制远程执行服务器shell命令,获取服务器当前用户权限。
(3)2014年4月,“心脏出血”漏洞(CVE-2014-0160),攻击者利用OpenSSL内存越界,可以远程读取存在漏洞版本的OpenSSL服务器内存中的数据。通过调研和分析发现,运营商拥有信息系统资产具有几个特征:分布广、种类繁、数量多。这就带来了运维繁杂和管理困难等主要问题,信息安全工作的管理者无法从全局把握信息资产情况,存在信息资产孤岛,面对全网的信息安全风险,缺乏全生命周期的安全管控能力。因此,本文重点从资产的维度对信息安全预警技术探讨,研究分析现有预警技术的缺失,提出一种基于软件模型的资产信息安全预警技术,实现运营商对信息系统的综合治理和全网防护等安全预警能力的提升,做到知己知彼、精准预警,从而保障电信运营商在移动互联网时代健康高效的发展。
2现有主要预警技术分析
现有的信息系统已经部署了大量的信息安全设备,比如防火墙、入侵检测系统、扫描器等,而这些系统主要的预警技术包括入侵检测和安全扫描等方式。
2.1入侵检测技术
入侵检测:通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。按检测方法区分,入侵检测技术主要可以分为误用检测和异常检测。异常检测模型:检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。误用检测模型:检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
2.2安全扫描技术
安全扫描:是一类重要的网络信息安全技术。通过对资产的扫描,资产管理员可以了解资产的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。资产管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。安全扫描是一种主动的防范措施。按检测方法区分,安全扫描技术主要可以分为插件技术和漏洞库匹配技术。插件技术:由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。插件编写规范化后,甚至用户自己都可以用C、Python或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有强的扩展性。漏洞库的匹配方法:基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之上构成相应的匹配规则,由扫描程序自动的进行漏洞扫描的工作。如上分析发现,现有技术方法主要是从安全检测和安全评估的角度去分析资产的信息安全问题,但都有其局限性。入侵检测技术的安全预警方法由于检测方法主要基于特征库的模式存在一定缺陷很容易导致安全预警的漏报和误报情况,预警的精度不高,而且在性能上也有影响。安全扫描技术主要通过模拟黑客的攻击手法进行安全预警。以探测的路径和系统配置规则库为基础,但是,基于黑盒的方式进行探测很容易造成遗漏,而系统配置规则库也存在局限性,这样将导致预报的准确度不高。
3基于软件模型的信息安全预警技术
3.1技术方案
基于软件模型的资产信息安全预警技术主要针对软件资产进行元数据建模,对不同软件信息资产进行概括和抽象,不涉及各类资产资源的特征。在软件模型的基础上,结合各类资产的特性和相关规则可以生成专业资产核心模型。基于统一的软件模型,有效实现各类资产的归一化处理,通过资产建模和分析,为资产预警算法提供综合资源信息。通过对权威机构的漏洞信息进行整理及归一化处理得到特征漏洞库。通过模板引擎和预警引擎生成预警信息,由于借助资产本身进行建模和预警,本方法能够达到精准预警的目的,有效地帮助资产管理人员进行安全防护,从根本上解决资产的信息安全问题。技术方案主要包括采集组件、信息库(资产库和漏洞库)、预警分析和预警展示。采集组件:包含资产信息的采集和漏洞信息的采集,而资产采集又分为本地的资产巡检和远程的资产爬虫两部分。资产采集通过特征指纹库和机器学习技术分析资产使用的软件信息已完成数据的采集入库操作。信息库:主要维护底层核心数据库资产库和漏洞库。资产库是按照软件元数据模型进行资产信息的存储。预警分析:借助基于向量相似性算法完成资产预警信息的分析,并根据预警规则设置不同的触发条件。预警展示:依赖大数据可视化组件,可以实现多维跨域的信息呈现,以最直观和有效的方式告知资产运维和管理人员。主要依赖JavaEE的技术,基于MVC(ModelViewController)设计模式和REST风格,包括预警分析层、预警算法层和模型库。其中模型库由资产库和漏洞库构成;预警算法层由UX引擎、分析引擎、预警引擎和模板引擎组成;预警分析层由预警可视化、资产可视化、风险可视化和TOPN组成。
3.2主要功能及效果
基于软件模型的资产信息安全预警技术主要包含如下功能,总体态势:多维展示资产总体安全情况,健康值、历史趋势、数字地图显示等;预警分析:根据资产维度、漏洞维度进行精准和模糊预警;实时预警:支持以天为粒度进行预警,实时显示预警风险、重要资产威胁信息等;资产分析:资产明细数据、资产排行榜、资产分布及资产类型占比;漏洞分析:漏洞明细数据、漏洞趋势、漏洞分布及漏洞类型占比。基于软件模型的资产信息安全预警技术推动从信息安全治理工作从现有的事后检查向事前预防为主的机制转变,实现了平台化运营能力,为公司的资产管理、业务运营、安全管控等方面提供了方便快捷的支撑服务。使信息安全治理工作基本达到资产可管控、信息可共享、安全可度量、预警可感知。资产可管控:整合信息资产,关注重要基础设施,实现管理集中化、运营专业化。信息可共享:实现安全漏洞、安全通告的集中共享,完成集团公司和分公司的信息联动。安全可度量:实现现有安全问题多维情况的指标化度量。预警可感知:通过智能算法,结合历史大数据分析实现预警感知,丰富的可视化组件,友好界面。
4总结
本技术方案能够较好地提升现有资产的安全性并且能够及时进行预警,具备以下优点:精准性通过预警引擎的快速匹配算法能够精准的发现信息资产中的安全漏洞,并发出预警信息;自动化对于传统的通过人工排查和渗透测试方式,能够做到自动发现批量预警信息。但由于电信运营商拥有大量的信息系统和软件资源,在资产获取方面还难以实现自动化,后续将重点研究基于主机的资产识别技术,实现对主机资产信息发现、特征提取、资源归集等功能,从而全面提升电信运营商的资产信息安全预警和感知能力.
作者:张高山 杜雪涛 孟德香 单位:中国移动通信集团设计院有限公司