4.8　基線思維及事件管理工具的使用

CSO在建立網絡安全事件響應機制后，可能會發現網絡安全事件并不總是那么可控，經常出現的一些未知網絡安全故障會給CSO的工作帶來挑戰。

4.8.1　基線思維

因為網絡中的硬件和軟件是復雜和動態的，有時網絡安全事件可能令人迷惑或無法解釋。例如在一個有很多主機的網絡中，這些主機不斷地被“踢”下網，而沒有任何明顯的原因，此時如果采用既定的故障檢修方式來排查，在沒有忽略任何事件的情況下，可能仍發現不了故障點。然后你可能會著眼于主機和配線房之間，以及控制它們連接的集線器和交換機之間的連接問題，甚至任何可能的終端計算機故障，直到發現在這個令牌網絡中有一個設備正發生故障，并且正在發送影響其他主機連接網絡的通信流量。

在這個例子中可以看到，網絡中的每一個設備、硬件、軟件其實都是有運行標準的，也就是可用性水平，如在線時間、在一個特定時段能夠處理的請求數量、帶寬的使用性能、計數器的使用要求等。假如所有的組件都處在它們各自正常的可用性水平之間，那么系統就能正常運轉，而如果其中某一個或幾個組件的可用性水平出現問題，則整個系統也就出現了問題，網絡安全事件也就發生了。舉例來說，假如一個設備通常每分鐘接受大約300個請求，但是突然它每分鐘只能接受3個請求了，那么你就需要關注這種偏差了，這個設備的這種偏差可能最終導致整個系統出現故障或代表其受到DoS攻擊。

對于CSO來說，假如在系統正常運行時，記錄與系統相關的所有網絡、設備、硬件、軟件等組件的運行狀態，作為基線，然后監控每一個組件運行的情況，當某一個或多個組件出現偏離基線的情況時進行干預和處置，是否就可以更及時地響應網絡安全事件，從而避免網絡安全事件的發生呢？這當然是可行的，這也就是基線思維的原理。

4.8.2　安全信息和事件管理系統

CSO需要掌握基線思維，因為這種思維可以讓組織的網絡安全管理上一個臺階。當然，要實現基線思維的管控效果離不開管理工具的使用。在網絡安全事件的管理領域中，安全信息和事件管理（Security Information and Event Management，SIEM）系統是常用的管理工具。

SIEM技術已存在了十年以上，最早是從日志管理發展起來的。它將安全事件管理（SEM，即實時分析日志和事件數據以提供威脅監視、事件關聯和事件響應）與安全信息管理（SIM，即收集、分析并報告日志數據）結合了起來。

SIEM系統會收集并聚合公司所有技術基礎設施所產生的日志數據，數據來源包括從主機系統及應用，到防火墻及殺毒軟件過濾器之類的網絡和安全設備。收集到數據后，SIEM系統就開始識別并分類事件，并對事件進行分析。該系統的主要目標有兩個：

1）產出安全相關事件的報告，比如成功/失敗的登錄、惡意軟件活動和其他可能的惡意活動。

2）如果分析表明某活動違反了預定義的基線，有潛在的安全問題，就發出警報。

如今，大型企業通常都將SIEM系統視為支撐安全運營中心（SOC）的基礎。

安全運營中使用SIEM系統的背后有一個主要推動因素，即隨著市場日志分析能力的不斷提升，很多SIEM技術還引入了威脅情報，它不僅監視網絡行為，還監測用戶行為，可針對某動作是否為惡意活動給出更多情報。

SIEM系統主要被大型企業和上市公司采用，有些中型企業也用SIEM軟件，但小公司基本不考慮。系統主要在公有云環境的一些中小企業通過軟件即服務的方式從云外包供應商處獲得SIEM。

鑒于流經SIEM系統的部分數據比較敏感，目前大型企業用戶習慣在本地部署SIEM系統。不過，隨著機器學習和人工智能在SIEM產品中的增多，SIEM提供商會拿出一個混合選項，即部分分析在云端執行。

通過使用SIEM系統，企業可以在網絡安全事件萌芽階段就發現并處置它。當然，使用時也需要注意SIEM系統存在的一些問題：

1）缺乏事件分析能力。SIEM產品的使用是要基于事件規則的，如果企業缺乏適合自身的事件發現規范，那么SIEM往往就不太好用，并且有效的事件發現規范是要不斷維護的，缺乏相關能力的企業也無法用好SIEM。

2）存在誤報率問題。不少企業在使用SIEM系統時，采用了不符合企業實際情況的默認規則，導致誤報率高，而誤報率高又致使維護人員工作量變大，工作效率下降。

3）數據質量問題。不少企業將內部設備的數據一股腦地輸入SIEM系統，最后發現由于數據老舊或實時性不行，導致關聯分析后錯報和誤報情況多，SIEM系統也就無法有效使用。因此，要使SIEM系統有效，首先要保證輸入系統數據的質量。

假如企業無法保障應對上述這些問題的能力，那么不建議部署SIEM系統，建議先從基本的網絡安全事件響應機制著手，打好基礎。

4.8.3　安全編排和自動化響應系統

目前一般大中型企業都已經建立相對完善的網絡安全事件響應指南，或通過SIEM系統可以快速發現潛在的網絡安全事件。但是處置這些事件還是需要人工介入，后者主要是完成一些低級別或無關緊要的安全事件調查或處理。同時，由于內部員工存在流動性，新人進入崗位后往往不能及時上手，需要培養一段時間后才能達到老員工的水平。

有什么方式可以在發現中低級別的網絡安全事件后，能夠更快速地處置嗎？在這樣的背景下，安全編排和自動化響應（Security Orchestration, Automation and Response，SOAR）系統應運而生。SOAR是Gartner于2017年提出的概念，它可以解決以下三方面的問題。

1）編排。與過去相比，現在的網絡安全事件響應過程涉及大量的系統，運維的復雜度也大大增加，事件的響應與處理需要面對各種各樣復雜的操作。要滿足這些需求，必然需要提供豐富的事件響應與處理編排能力，從而進行流程定制、流程執行、流程監控、結果的驗證與評估、流程再造。

2）自動化。與過去相比，當前CSO在解決安全問題時所需要的數據、分析方法使其工作量和內容都大大增加。數據是海量數據，大量的數據需要使用自動化方式處理，這樣既可以節省時間、人力和成本，也避免人在處理大量數據的過程中引入誤差或出現失誤。

3）合理的KPI評估體系。SOAR系統除了提供編排與自動化執行能力外，也需要對流程和自動化執行結果進行有效評估，需要提供合理的評估方法、可量化的評估指標，根據評估結果才可以進行流程再造、優化編排內容，從而使得整個網絡安全事件響應過程的效率提升。

舉個例子來說，前文設計了一些分場景的網絡安全事件響應指南，在這些指南的具體操作中會涉及針對網絡設備、服務器、安全設備、系統的操作指令。在執行這些指南時，所有的操作都是人工向系統輸入指令。人工輸入和執行指令本身需要一定的時間，同時在輸入過程中還有可能出現輸入錯誤或多次輸入的情況，假如操作還涉及不同部門的不同崗位的協作，那么在兩個崗位連接過程中也會浪費一些時間，這樣就會導致最終的事件處理時間延長。而運行SOAR系統后，所有的指令都改為系統根據指南預先設定的腳本自動化執行，這樣就可以大大節省其中人力的影響，加速事件處置的速度。

另外，所有操作都會被系統記錄下來，這就便于評價事件處理KPI的變化。同時，相關數據再反饋到SIEM系統，還可以實現事件發現和處置的自動化閉環，提升網絡安全事件實時響應的效果。