編者按:
為增強安全信息和事件管理系統SIEM的能力,歐盟的地平線計劃(Horizon Plan)資助了DiSIEM項目。DiSIEM項目報告重點討論了SIEM相關的安全測度、概率模型、開源情報收集,威脅情報融合,可視化技術應用、安全事件的雲存儲等六個方面的項目成果,本刊將逐期刊載介紹。本期是第一篇,首先介紹DiSIEM項目的概要信息,包括項目面對的挑戰、設定的目標和獲得的成果。
DiSIEM項目概要:SIEM的多樣性增強
——DiSIEM項目及其研究成果(一)
安全信息和事件管理系統(Security Information and Event Management, 簡稱SIEM)是現代安全運營中心(SOC)的重要工具,目前SIEM在進行事件收集、數據存儲和威脅報告的手段和方法上仍然有很多能力限制,為了增強SIEM的能力,歐盟的地平線計劃(Horizon Plan)資助了一項名為安全信息和事件管理系統的多樣性增強項目(Diversity Enhancement of Security Information and Event Management,後文簡稱DiSIEM項目),該項目從2016年到2019年開展了為期3年的研究與實踐,共獲得400萬歐元的資助。DiSIEM項目共有七個參與組織(見表1)。
表1 DiSIEM項目成員組織
DiSIEM項目最重要的部分是使用可擴展的信息提取及機器學習算法和工具,從多個數據源中提取信息,這些數據源包括基礎設施中的監控傳感器,開源情報,社交網絡信息,安全新聞訂閱,諮詢公司情報等,然後在SIEM系統中使用基於概率理論模型的方法和先進的可視化工具處理這些信息,從而更好地進行威脅預測和風險評估。
DiSIEM項目並不希望設計一套全新的SIEM系統,而是希望對現有的SIEM系統進行增強,包括:對各類安全和監控設備的配置評估;新的面向應用的濫用監測方法;基於安全雲後端的事件長期存儲系統。
DiSIEM項目希望這些改進能夠和現有的SIEM系統互通,可以整體或分解應用於具體的SIEM系統環境中,並可以在生產環境中進行驗證(通過EDP、Amadeus和Atos三家集團的SIEM運營環境)。
經過3年的研究,並通過在三家不同類型的企業生產環境中驗證,DiSIEM項目共發表了大約35篇論文,並總結成17篇項目報告,重點討論了SIEM相關的安全測度、概率模型、開源情報收集,威脅情報融合,可視化技術應用、安全事件的雲存儲等六個方面的項目成果,下文首先介紹DiSIEM項目的概要信息,包括項目面對的挑戰、設定的目標和獲得的成果。
SIEM系統面臨的挑戰
當前企業通過建立SOC來監控和管理自己的IT基礎設施安全,並做出安全相關的決策。SOC通過部署SIEM系統獲得被監控基礎設施的集成視圖。這些複雜系統的功能包括:從多個來源收集日誌和事件,將這些事件關聯在一起,然後生成統計視圖、數據趨勢和不同類型的可視化界面,以幫助系統管理員和其他安全專業人員。由於這些系統的功能特性(集成系統的數量,處理事件的數量級等),其部署和維護非常複雜且成本高昂,且由於安全風險的日益增長以及合規性的需求, SIEM市場正在快速成長,同時目前的SIEM仍有許多局限性:
1.SIEM的威脅情報能力仍處於起步階段。系統無法自動識別可能影響(整個或部分)監控基礎設施的新威脅,需要相當大的人力幹預來適應和應對威脅形勢的變化。儘管網際網路能及時提供豐富的安全相關信息源(例如社交媒體、博客和安全新聞),但目前的SIEM無法使用這些信息源。
2.當前系統可以顯示與所接收事件相關的任何「底層」數據,但是幾乎沒有「智能」來處理該數據並提取高層語義信息。這些底層數據(例如,伺服器中登錄失敗的次數、異常的Web訪問請求)僅對專業的系統管理員有意義,難以轉換為 「C」級管理人員(例如CTO、CEO)理解的有語義的信息,這會影響SOC證明組織安全投資回報的能力。
3.當前SIEM中的大多數數據可視化技術都是極其有限和初級的。SIEM中的高級數據可視化手段仍然有限,這會嚴重影響SOC及時處理安全事件的能力。
4.SIEM的事件關聯能力取決於提供給它的事件質量。目前不夠完善的安全監控設備生成的各類不精確事件和警報將被SIEM默認為正確,這會為事件關聯的結果準確性帶來不確定因素,而這種不確定因素目前尚未有公開的研究。
5.由於存儲資源的限制,SIEM無法長時間保留收集的事件。這限制了它們在長時間周期內進行取證調查的可用性,特別是在應對高級持續性威脅(APT)的攻擊時。
DiSIEM項目的目標
DiSIEM項目不是為未來的SIEM提出新的架構或修改現有的SIEM,而是通過一組新組件和技術增強現有已部署在生產環境的SIEM系統,利用其內置的擴展和定製能力來解決上述挑戰。這些組件和技術可以用於訪問各種不同數據源,提供新的事件檢測能力,並生成更好的可視化報告和指標以更好地支持安全運營中心。這些組件和技術包括:
1.集成網際網路上可用的各種OSINT(開源情報)數據源。例如NVD(NIST的國家漏洞資料庫),安全服務商維護的漏洞和補丁資料庫,不同組織共享的威脅情報數據(例如ANS ISC,VirusTotal,ThreatExpert,SpamHaus,OpenBL,EmergingThreats等提供的IP位址,URL和文件Hash黑明單),來自社交網絡(例如Twitter,Facebook,LinkedIn)的安全博客和數據流,來自暗網使用的協作平臺(例如Pastebin)數據,來自搜尋引擎和在線資料庫(例如Google Hacking Database,Shodan,RIPE / ARIN,Whois等) ,標準化(例如STIX和OpenIOC)的IOC數據等。這些數據需要被提取,分析,標準化和融合,以識別數據間的關係,趨勢和異常,從而幫助SIEM發現基礎設施的新漏洞,並能預測可能出現的新的安全威脅和風險。
2.開發新的概率安全模型和基於風險的評估指標,以幫助安全分析師確定哪些基礎設施配置提供了更好的安全保障,並提高SOC和C級管理人員溝通組織安全狀態的能力。
3.設計新的可視化方法,以呈現各種實時和歷史數據,通過輔助SOC的安全分析師從底層數據中更好地提取高級安全事件語義,更好地支持SIEM的決策過程。
4.將多樣化的,冗餘的和增強的安全監控功能集成到SIEM系統中,增加系統獲取到的事件的價值。DiSIEM項目計劃使用不同的工具合作構建增強的安全感知和防禦系統,例如使用三個不同的入侵檢測系統來監控網絡的相同關鍵部分,SOC可以對這些系統生成的警報有更高的可信度。實現這種類型的機制需要對安全系統的多樣性進行概率建模,以定義哪些工具組合更有效以及可以預期安全事件的檢測率和可信度的改進程度。同時,DiSIEM項目建議為業務中的關鍵應用程式部署新的基於行為異常的檢測系統,從而提高SIEM對這些應用程式功能安全狀態的可見性。
5.添加在公共雲存儲服務中對事件進行長期存儲的支持。為了滿足安全數據(包含大量敏感信息)存儲中的安全性和隱私性要求,DiSIEM研究如何採用秘密共享和信息分散等技術將此類事件存儲在不同雲服務商(例如,亞馬遜,Windows Azure,Google)空間中。
這些組件和技術將通過一組插件形式的工具和組件實現,它們可以被集成到現有的SIEM系統中。 例如,SIEM可以通過集成多樣化的OSINT源獲得多樣化的、冗餘的和增強的安全監控功能,而SIEM事件資料庫可以給新的可視化和分析工具提供數據流。DiSIEM項目設想SIEM的多樣化增強架構如圖1所示。
圖1 SIEM的多樣化增強架構
DiSIEM項目的預期成果
DiSIEM項目預期的主要成果包括以下幾個部分:
1.用於分析,評估和指導基礎設施中各種安全機制最佳部署的技術和工具,包括基於風險的多層次安全測度級別指標(在圖1中的所有藍框中使用)。
2.基於開源情報OSINT的安全威脅預測模塊(圖1中的「OSINT Data Analysis and Fusion」框)。
3.豐富的增強交互式可視化功能,用於提高SIEM對安全分析師決策過程支持的質量(圖1中的「Visualization and analysis Tools 「框)。
4.用於部署各種冗餘傳感器的框架(圖1中」Diversity-Enhanced Monitoring 「框的一部分)。
5.新的基於應用的異常行為檢測功能,和其他傳感器的檢測結果互補,檢測應用伺服器中的攻擊活動(圖1中」Diversity-Enhanced Monitoring 「框的一部分)。
6.允許在不同雲中進行事件長期存檔的組件(圖1中」Cloud of Clouds Event Archival「框)。
DiSIEM通過選擇擴展而不是開發新的SIEM期望更快地促進創新,並最大化推進項目結果在生成環境中的使用。從下期起,我們將按上述順序分期介紹DiSIEM項目的各項成果。
本文刊載於《中國教育網絡》雜誌2020年4月刊,翻譯:楊望、薛曉萱;責編:項陽。
投稿、轉載或合作,請聯繫:eduinfo@cernet.com