引言
说到网络安全和信息化行业重要和热点的事情,互联互通互操作一定是其中之一。近年来,国内外网络安全行业持续推进相关工作,从而让安全产品间、安全产品与信息系统间、平台与产品间具有更强的联动能力,形成不同环境、不同场景以及多方信息能够统一集成的协同作战体系。在互联互通互操作实践过程中,国内外虽然已形成了大量标准和规范,但是在接口规范方面仍然进展缓慢,这也是行业内形成共识并亟需解决的问题之一。
OpenC2:互操作的“网红”标准
业界对网络安全互联互通互操作的边界划分存在多种不同的认知,但是在需要做到日志/告警等网络安全数据的规范化、情报信息的标准化、以及策略和操作接口的统一化等方面已基本达成共识。其中,在数据方面有《GB/T 20985 信息技术 安全技术 信息安全事件管理指南》、《GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南》等国标、行标作为依据,情报方面有结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)、恶意软件属性枚举和特征描述(MAEC)等规范作为依据,漏洞信息方面有通用漏洞和暴露(CVE)、中国国家通用漏洞披露(CNNVD)等作为标准,而在互操作方面则有被国内外广泛提及的“网红”标准OpenC2作为参考。
Open Command and Control(简称OpenC2)是美国国家安全局NSA牵头,与美国网络安全厂商以及安全专家一同开发,为提供能够联动指挥和控制各网络防御技术和产品的标准化语言,旨在简化网络安全技术和产品管理联动的难度、加强联动能力和提高集成效率。
OpenC2是一整套提供互操作的指令规范,其中最常提及的部分则是OpenC2 Language Specification,即OpenC2对于指令语言的描述性标准。在该标准中定义了指令(Command)和响应(Response)两部分,其中指令包括Action、Target、Arguments和Actuator四个组成部分,其中:
Action:指令和控制动作,OpenC2标准组委会进行反复修订,在v1.0CS02版本中定义了20种动作(枚举编号到32),几乎涵盖了网络防御响应时所有需要执行的动作。
Target:动作的对象,如封堵IP中的IP对象等。
Arguments:动作指令的参数,用以描述动作的执行信息、上下文等。
Actuator:动作的执行者,即执行动作的产品、技术、软件、服务等。
响应部分则包括包括了响应码、响应信息和执行结果等信息,用于获取动作执行效果信息。
作为集合了美国顶尖网络安全领域专家人才智慧的网络防御互操作性规范,笔者认为OpenC2在指令动作的全面性、接口的可扩展性、安全传输的可扩展性等方面都已进行了较多的设计和考虑,是业界最成熟的技术标准和实现互操作性的方案之一,也有国家和产业的背书与支持,对产业具有深远的指导意义。
然而在近几年的公开资料观察中,笔者认为OpenC2没有像大家期望的一样发展,虽然不少头部安全供应商和相关服务提供商做了相应的适配和支持,但是在大部分供应商公开的接口文档中很少提及OpenC2的兼容规范和实施用例,而更多的是基于自有的接口规范和定义提供开放接口。笔者认为,在特定的需要大规模统一集成和互联互通互操作的场景中,OpenC2是一种相对完善的、提供标准化接口定义的规范,而在其他的场景中则可能无法形成较有力的约束。这种不同层级规范并存的客观现象导致产业短时间内仍然无法实现真正意义上的统一、标准化的互操作接口,也就形成了当前各厂商通过适配和集成的方式实现异构应用的接入和互操作的业态。
适配与集成:破茧而生的创新
SOAR(安全编排自动化与响应,Security Orchestration, Automation and Response)是一种能够围绕网络安全防护,将相关技术、能力、服务、设备等集成和串联起来的网络安全技术,是当前国内外实现网络安全互操作性的最佳实践之一,我们可以从SOAR的角度看网络安全互操作这件事情。
SOAR技术中需要解决的核心问题之一是将各安全设备的接口进行集成,从而实现对各安全能力的灵活调用和编排。事实上,与统一接口形成互操作能力的技术路线相背的是,几乎所有国外SOAR供应商都提供了自有的接口适配器以适配各厂商的各安全能力,通过使用标准化的适配器对接规范以规范不同标准的接入。如,PaloAlto xSOAR产品提供了Cortex XSOAR Developer Hub用以进行第三方应用开发,其中的Integrations and Automation Scripts部分则可以通过代码或脚本方式进行快速的应用对接和集成;Siemplify的SOAR产品提供了Siemplify IDE以支持Python代码化的第三方应用集成;Microsoft基于Microsoft Graph Security API提供标准化的对接接口,以简化安全操作并提高威胁防护、检测和响应能力。
从上述事实来看,国外在SOAR这样的需要集成各种安全能力的场景中难以做到对各自有或者第三方系统进行基于统一接口的集成,而应用适配和集成则成为了最终落地的方案并形成了为了集成多方能力的标准模块,以此解决多技术、多产品和多厂商的集成,从而实现产业界的互操作性,形成安全协作合力。
THBridge:SOAR互操作的最佳实践
适配和集成的目的在于通过半标准化的方法提供统一的应用集成,从而对上提供标准化接口,对下进行非标准化对接,以此支持面向异构接口的联动协同互操作能力,这正是SOAR技术中承上启下的关键环节。
启明星辰泰合团队基于网络安全顶层设计、技术产品沉淀和场景化需求,设计开发应用集成系统“THBridge”,其核心设计理念包括:
关注网络安全顶层设计
基于IPDRR模型将安全能力和动作分类为识别、防护、检测、响应和恢复五类,以此提供不同阶段和类型的SOAR剧本使用。
覆盖全安全过程
基于OpenC2设计安全动作,在其基础上依托IPDRR模型进行扩展,从而构建兼容OpenC2的覆盖IPDRR全安全过程的安全能力体系。
提高集成和交付效率
设计插件式应用集成网关以实现插件式的应用快速集成,并提供应用注册、发现和状态维护。
开放SDK注重生态合作
设计多语言支持的开放SDK,以提供安全和通用应用的快速集成,面向应用版本迭代实现应用的管理。
泰合团队在上述核心设计理念的指导下,实现THBridge的设计与开发,并成功应用于智能运营系统(SOAR)产品中,提供对异构产品、厂商的技术、软件和设备的快速集成,构建自动安全编排的技术基础。SOAR产品能够基于THBridge快速实现第三方应用的开发和管理,以供基于工作流引擎的安全编排器对安全应用实现标准化的对接和集成,从而构建安全协同作战体系,帮助更多企业及其安全运营中心解决响应过程中人员短缺的问题,提高企业的事件检测和响应时间,减少入侵者的停留时间,提高安全运营团队整体工作效率,达到实战化效果。
多数据源对接技术适配多种部署情况
智能运营系统(SOAR)支持企业运维人员从两大类数据源获取安全事件数据,一类为启明星辰集团的自有平台,包括态势感知平台、安全管理平台、云安全管理平台,另一类为第三方平台或安全设备。尤其是通过与现有云安全管理平台工具的集成,帮助在云和内部部署环境中协调和自动化响应过程,IT人员可以结合云和内部事件响应、进行自动化和操作任务调度。
一站式的安全自动化
智能运营系统(SOAR)为广泛的安全事件类型提供开箱即用的动作与剧本,且自动执行剧本,减少运维人员的工作负载,确保全面、可衡量的响应过程;通过流畅的可视化剧本编辑器,帮助安全团队创建和管理符合最佳实践和内部工作流程的剧本,应用一组工作流来处置安全事件;通过解决方案集成来进行数据编排,以便于单一界面的安全自动化,帮助企业的安全运营中心解决安全操作员工短缺的问题,缓解入侵量持续增长的问题。
构建“运营工具箱” 实现颗粒化联动协作
通过全维度、插件式应用集成框架技术,智能运营系统(SOAR)具备了“运营工具箱”的存储和分类功能,快速对接网络、安全设备,协作及运维系统、云端应用,实现颗粒化联动协作能力。(胡毅勋)
声明:本文来自启明星辰泰合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。