来源:Cyber Defense Operation using CyCOP: A Cyber Situational Awareness Tool to Support Decision-Making
摘要:我们开发了网络公共运营图(Cy-COP),帮助用户识别当前的网络情况并做出适当的网络防御决策。在CyCOP中,有一个基于OODA(观察、定位、决策和行为)循环的用于决策制定的操作概念。CyCOP提供了一些视图,用于可视化网络资产的当前状态、组织的网络拓扑结构和网络威胁情况。它还向用户提供信息,以确定针对潜在或当前威胁的最佳运行过程(CoAs)。
1介绍
各种分析和可视化技术的网络态势感知已经得到学术和工业领域的研究。包括军队在内的许多组织都对应用和利用与网络态势感知相关的技术感兴趣。具体而言,需要一个决策支持系统,帮助决策者(如指挥官)通过分析和可视化技术识别和评估网络情况,以便组织能够积极和有效地应对潜在的或当前的网络威胁。
我们之前提出的CyCOP[2]是一种有效的网络态势感知可视化工具。以前的工作侧重于可视化资产和网络威胁信息的静态能力,而增强的系统突出了支持组织网络防御的通信和决策的动态能力。决策者可以从CyCOP的各种视图中识别网络资产、网络拓扑和网络威胁态势,并选择合适的CoAs。
2运营理念
网络防御的决策过程可以表示为一个基于OODA循环的操作概念。首先,系统从各种设备(网络设备、基于网络的安全设备、端点(如服务器和pc)和独立的传感器)收集和聚合数据,以管理它们拥有的最新资产信息和漏洞。网络拓扑也保持最新(observation phase,观察阶段)。组织预先分析任务、执行任务的任务和资产之间的依赖关系。用户根据网络拓扑结构和资产漏洞信息(定位阶段)生成攻击图,并根据攻击图分析候选的CoAs,选择合适的CoAs,有效抵御重要资产的潜在威胁(决策阶段)。此外,用户可以识别由安全信息和事件管理(SIEM)产生的当前网络威胁,SIEM可以收集和关联来自各种安全传感器的低级警报,评估受害者对网络威胁的损害程度(orientation phase,定位阶段),并选择适当的CoAs来防止由网络威胁[7]造成的额外损害(decision phase,决策阶段)。
3.1主要视图
主视图(图1)表示组织的地理位置及其在地理地图上的网络配置和对组织资产的网络威胁。超级警报由SIEM生成,它收集并关联事件、日志和警报,并显示在主视图上。它们根据安全状态以图标和颜色表示,并显示在代表组织的图标上。基于 ARMOUR[5],它们出现在根据安全状态按图标和颜色显示组织的图标之上。展示了安全运营中心(SOCs)对事件的响应状态和网络威胁造成的破坏。主视图帮助用户识别整体情况,包括以前和当前的网络威胁。它还可以与其他能够响应网络威胁的视图和系统协作,使用户能够在更高的级别上做出决策。
3.2网络拓扑视图
网络拓扑视图(图2)显示了网络资产及其在组织中运行的网络拓扑。网络资产包括主干路由器、路由器和交换机等网络设备、防火墙、IPSs、web防火墙等网络安全设备以及服务器和pc等终端设备。网络资产信息使用传感器收集并保持最新。它们按照资产类型以图标的形式表示,并按照骨干网路由器(底层)、网络设备、网络安全设备和端点(顶层)的顺序排列。
在网络拓扑结构上,通过选择攻击的开始主机和结束主机,进行攻击图分析(基于multi - val (Multi-host, Multi-stage Vulnerability analysis Language)[6]、NetSPA (network Security Planning Architecture)[1]、TVA (Topological analysis of network attack Vulnerability)[4]。图2所示的黄线将结果可视化在网络拓扑上,使用户能够直观地理解分析结果。用户可以根据当前的网络威胁预测未来可能的攻击路线,并建立CoAs以防止攻击的进一步蔓延。首先,在分析攻击图[5]和当前网络威胁[7]的基础上,提出一组CoAs。然后,用户可以根据响应速度、基本有效性、自定义有效性、初始成本、运营成本等5个因素来查看分析结果(如图3所示),选择最佳CoA。
3.3Mission-Asset依赖分析视图
Mission-Asset依赖性分析视图(图4)介绍了影响网络资产威胁的任务,Mission的task,和相关的网络资产。首先,该视图左侧列出了几个Mission。通过选择特定的Mission,用户可以查看task、执行task的应用程序服务、应用程序(如web服务器和数据库)、物理网络资产及其执行mission的关系。该模型基于冠状宝石分析(CJA)[3]。当攻击影响特定的物理网络资产时,对这些资产上运行的应用程序、应用程序服务和网络资产上执行的mission的影响通过数值计算显示在图中,并显示总体可用性程度和mission状态。
4结论与未来工作
我们提出了CyCOP,这是一种用于不同用户群体识别网络空间中的网络资产和网络威胁并制定有效保护对策的工具。CyCOP是军事领域网络行动的组成部分。通过使用最新的网络资产信息分析和呈现攻击图,可以主动应对潜在的网络威胁。此外,有可能执行系统的安全操作,并通过关联日志、事件和传感器发出的警报来有效地应对高级别的网络攻击。
在未来,我们需要开发能够直观识别网络威胁的符号。此外,还需要集成基于安全编排、自动化和响应(SOAR)的技术,这些技术可以对网络威胁执行自动响应。
