基于風險損失量化模型的網絡安全應急處置技術研究

韓志峰，鄭瑞剛，許暖

（1.中移動信息技術有限公司，北京100033；2.中國移動通信集團安徽有限公司,安徽合肥230000）

1 引言

近年來，隨著萬物互聯、人工智能等新技術革命的到來，網絡安全進入了大安全時代，涉及到國家安全、國防安全、基礎設施安全、城市安全以及社會民生安全。網絡安全已經成為企事業單位的支撐角色，并逐漸演變成了生產要素，其重要性不言而喻。

整個網絡世界一直在動蕩中發展。自從云計算、大數據、AI等技術大范圍應用后，網絡攻擊者們更加肆無忌憚，早已實現網絡攻擊武器的升級。面對這樣嚴峻的挑戰，作為安全防守者，應及時提升安全防護能力水平，應用更加科學合理的技術手段，及時發現和阻止每一次的攻擊行為。

過去二三十年，國內主流安全能力建設的重心放在安全防護、阻止和檢測等領域，但在安全響應環節仍然存在很大的短板。越來越多的企業開始重視安全應急響應，尤其是應急響應處置的速度、質量。

今天，很多大型的企業或組織已經能夠較為準確地識別一起安全攻擊事件，但在響應處置環節仍然存在重大短板。尤其是對風險嚴重性的判斷、風險遏制手段的決策和風險響應措施的執行，缺少科學合理和自動化的應對機制，導致安全響應頻繁落后于攻擊者。其很大一部分原因是缺乏可靠地風險損失量化評估模型，無法第一時間給出量化指標為響應處置提供決策依據。

2 主流安全風險處置邏輯

主流網絡安全事件風險處置的框架或邏輯是：通過有效的感知系統收集各類系統的日志、活動和告警，之后通過相關的分析技術（可以結合AI、大數據）判定安全事件的風險等級，然后予以告警通知，或采取初始的響應動作。主流風險識別與治理框架，如圖1所示。

針對安全風險處置邏輯，目前國內外已有相關的機構或企業在開展各類嘗試?？傮w來說，先要對風險進行計算，之后開展對應的處置措施。常見的風險計算主要有定量、定性和兩者結合等方式的計算。但此類風險計算邏輯往往偏于單一場景和靜態數據，缺乏動態調整和決策能力支撐，對后續安全策略下發缺少足夠的實戰參考價值。

以某省級移動運營商為例，過去多年的網絡安全建設已經取得一些成績，各類檢測手段、防護策略也已經部署，但落實到具體的安全事件處置時，往往在風險識別、計算和決策等環節仍然需要大量的人工參與和不確定性。這導致事件處置和響應缺乏可衡量的機制，無法做到經驗和邏輯的傳承和復制，不利于綜合安全能力的建設，更不能滿足新時代下網絡安全攻防場景的綜合挑戰。

3 國內風險計算和處置現狀

國內主流廠商或企業的風險計算邏輯和處置策略通常缺少量化指標，風險計算維度單一，風險處置粗暴，總的可以概括為定性計算為主、過度依賴專家經驗、缺少可復制性。

3.1 定性計算為主

大多數安全事件風險計算以定性計算為主，例如給出高、中、低或緊急、重要、一般、輕微等說明，告警信息通常以圖文方式在產品儀表盤進行展示，缺乏可以數字化衡量的基礎。

3.2 依賴個人經驗

風險計算依賴工程師經驗。同樣一個SQL注入告警或Webshell利用事件，不同的工程師給出的嚴重度判斷是不一樣的。單純看安全設備告警信息，普通工程師可能會定級為很高，但是了解攻擊行為和影響范圍的人員可能認為是個低風險。

3.3 缺少可復制性

數據判定取決于樣本庫或人員主觀邏輯，不具備動態適配能力。因為風險判斷結果不同，導致響應所采取的措施也不同。而且風險判斷依賴人工，數字化衡量不精確，導致風險處置邏輯不具備可復制性。

4 國外風險處置發展現狀

國外一些新型的攻防理念和技術通常較為領先，在安全風險計算和處置領域也早已誕生一系列的標準。通常的風險計算適用于風險評估，而作為事件響應處置的風險計算雖然有量化方式，但仍然缺少動態適應的能力，并且與國內環境也存在適配的問題。

4.1 標準的模型僅適合資產風險評估

圖1 主流風險識別與治理框架

已有的風險計算模型主要是信息安全風險評估領域的ISO27005標準，通常從資產維度做風險評估，不適合對安全事件進行風險評估。應對實時變化的安全攻防事件，現有的風險評估模型和方式顯然不能滿足需求，安全防護者必須尋求新的突破。

4.2 風險計算過程僵化

資產通常是一個固定的對象，圍繞資產計算的因素也是固定的，因此容易通過簡單的輸入得出一個風險值。但事件通常是動態的，而且每個事件發生的上下文并不一樣，因此其風險計算邏輯和處置邏輯與普通資產完全不一樣。傳統風險計算的量化模式過于僵化，缺少上下文知識關聯。

4.3 自動化風險處置劇本依賴專家經驗

一些企業或機構已經意識到動態風險計算和處置的重要性，并開始了相關的探索，例如：IACD框架正在尋求實現自適應動態風險治理。雖然已經有了自適應的思想，并采取了自動化的手段，但風險計算和決策邏輯本身仍然落后。已有的安全策略劇本仍然需要專家提前完成，并且針對風險處置的邏輯需要不斷調整，嚴重依賴人員。

4.4 缺乏國內業務特征支撐

此外，國外相關的技術實現和規范往往有與其適配的技術場景和業務特征。相較于國外環境，國內企業或組織的安全管理需求、方法和機制有很多差異的地方，還不能直接照搬。安全手段和技術的使用要適配國內業務特征適配，對大型基礎設施企業、重點機關單位等組織更是如此。

5 現實安全應急響應的痛點

網絡安全應急響應通常需要企業內部多組織、多人員相互配合，完成一起事件的處置。這樣事件運營過程通常需要安全系統或人員基于已有的安全告警信息，進行綜合風險判斷，最終決策要采取的響應動作。但現實應用場景與理想的標準模型存在的巨大的差異，實際響應過程中有很多痛點和問題。

5.1 業務系統間存在依賴路徑

業務系統之間的通常有這個相互依賴或關聯的關系。企業業務邏輯比想象的復雜得多，不僅僅是簡單的幾個網站或系統?，F在信息系統往往都是分布式、集群模式構建，分為前端、中臺、后臺和底層數據等模式。系統內部有層級依賴，系統之間有相互依賴關聯。例如管理系統需要調用SSO單點登錄系統，業務系統需要與OA系統關聯等，如圖2所示。

當一個系統出現安全風險或者問題時，受影響的可能還包括其他系統。因此，評價一個安全事件所產生的風險，需要更加科學、合理的計算方法。

5.2 缺少信息關聯導致告警不準

傳統安全告警基于配置檢查或漏洞掃描，依賴于特征庫覆蓋范圍和特征庫的更新。漏掃不及時，不準確都會影響到告警和后續處置。安全事件日志的完整性、及時性和準確性也會影響已有的告警統計分析。傳統的安全風險發現都是單個時間點的狀態值計算，即使增加了一些關聯分析，也是繼續靜態數據的疊加計算，仍然存在誤報、漏報的問題。

6 基于風險損失量化模型的應急處置方法

6.1 主要思路

經過過去幾年網絡安全事件運營的積極參與和快速、高質量的安全應急處置策略的持續探索，文章針對上述遇到的問題和難點，給出了一種基于風險損失量化模型的網絡安全應急處置的技術對策?；诖?，傳統的安全風險計算和處置的邏輯和質量將得到更大的改進優化。

圖2 業務系統依賴關系圖

要解決風險計算難以量化，過于依賴人員，容易產生單點依賴，不支持動態更新的問題，嘗試著從如下思路解決：構造一種新的風險損失量化模型計算方法，將事件類型、嚴重度、資產嚴重度、系統依賴關系等等因素納入到風險計算邏輯，由此打破僵化，拒絕靜態，規避單點計算。

6.2 實現方法

基于風險損失量化模型的網絡安全應急處置方法，是對當前主流風險計算和處置的一種優化，是安全攻防實戰過程的實踐與總結。為滿足應急處置風險決策要求，系統設計需要遵循必要的原則，例如清晰的定義系統、科學地計算數據，數字化體現風險和損失。參與風險和損失計算的關鍵要素至少包括：資產嚴重度、漏洞嚴重度、受影響資產和被依賴資產、當前系統安全風險等級。

傳統風險計算表達式主要是面向單資產的風險計算，以風險計算因子的乘積作為最終結果，如：

風險 = 威脅×影響×可能性

基于風險損失量化模型的計算方法實際上要計算多個依賴項各自的風險，并將結果再根據一定的邏輯合并，從而產生本次計算的數值。

以某個安全攻擊事件為例，針對目標資產的直接風險計算邏輯如下：

A = 資產重要性（金額）， V=漏洞嚴重程度（百分比；表示資產受影響的概率），L=當前內部網絡整體風險等級 （百分比，表示對漏洞防護的失效率）。

核心邏輯是 f'= A*V*L，注意這里的A，V，L通常都表現為概率分布（比如我們無法確定多少用戶可能會受到一次攻擊的影響），因此最終結果由將以數值模擬得出：f=MC(f')，MC表示蒙特卡洛模擬。偽代碼如下：

Sum ＜- 0

for (i from 1 to 1000) {

A ＜- random(A_min， A_max);

V ＜- random(V_min， V_max);

L ＜- random(0， 1);

Sum ＜- Sum + A*V*L

}

r ＜- Sum/1000

由于目標資產可能是其它關鍵系統的依賴項，因此根據依賴路徑，其它系統可能也存在風險，我們將其稱為間接風險。以網站遭黑客SQL注入導致用戶信息泄露為例，直接風險表現為老用戶失去信任、不再使用產品帶來的經濟損失。間接風險是由此帶來的政府罰單、排查問題、修復系統、長期的信譽損失等等。每一項間接損失，都可以按照前述直接風險的計算方式來進行量化，數據是可復用的。

綜合風險由直接風險和所有間接風險的求和得出：

R=最終風險數值， M=風險計算模型

d=依賴被攻擊資產的一個對象，可能有多個對象

模型M是針對當前目標資產風險和依賴該資產其它項的綜合風險計算模型。通過該模型可計算出某個攻擊事件可能產生的最終風險損失數值。

此外，用戶還可以從信息安全三要素C、I、A角度對模型做細化，計算在不同側重面的風險損失數值，從而滿足不同場景、不同業務的風險管理要求。針對機密性、完整性和可靠性的影響，可采采取的響應措施也不盡相同。

M' =風險計算模型變化版

C=保密性、I=完整性、A=可用性

風險計算的數值取值有一個集合空間，例如[0，9]。安全人員可以根據具體需要動態調整名參數和輸出格式，從而實現適合自身的風險損失量化計算過程。下圖是整個風險損失量化模型下，網絡安全應急處置的整體流程，如圖3所示。

根據不同的風險數值可以決策出要開展的應急響應處置動作，典型的風險處置的決策選項包括網絡封禁、應用封禁、通知告警、提升系統風險等級、凍結用戶賬號、用戶降低權限、啟動防病毒升級等等。

6.3 應用落地

技術團隊一直在探索嘗試將基于風險損失量化模型的網絡安全應急處置技術應用在某企業內部的網絡安全防護平臺的風險處置環節。迄今為止，該平臺已經集中了態勢感知安全告警、CMDB（配置管理數據庫）、資產系統、業務關系拓撲、知識圖譜和安全劇本編排能力。其中關鍵環節是在安全劇本中使用模型計算的結果進行智能化的風險決策，根據風險計算的結果給出風險處置的手段，并在特定場景下直接采取風險處置手段。

目前該技術思路已經在成熟使用，重點實現了動態風險決策、自適應風險治理等目標，如圖4所示。

如圖4所示，圖中的主要邏輯是安全事件發生后，系統會根據事件的嚴重度、資產的重要性、資產漏洞弱點信息和受影響的可能性等做基礎風險計算，之后使用兩個以上的風險計算模型，對資產及依賴該資產的其它資產項風險做綜合計算，最終獲得綜合風險損失精細化計算數值。

這個數值在實際應用中可以體現為損失的金額，根據事先確定的風險等級定義，轉化為風險等級。系統根據風險等級及風險類型智能決策要采取的措施，如資產單點隔離、資產網段隔離、系統賬號停用、攻擊流量清洗等手段，如表1所示。

圖3 網絡安全應急處置的風險計算和處置決策流程

表1損失數值金額與等級映射關系（示例）

自適應的風險治理除了需要能夠動態計算安全事件風險數值并予以決策支持外，還需要能夠和企業內部安全管理系統打通，實現動態獲取全局風險，并根據事件風險實時更新已有的系統風險等級。只有這樣風險計算才不會成為單個事件的過程，而涉及到全局系統，成為真正意義上的自適應安全防護，該過程如圖5所示。

如上圖所示，安全威脅被發現后系統自身的整體風險等級也參與了模型計算。根據最終計算結果，識別出要執行的安全策略。而當安全策略執行完成后，再次執行風險計算模型，同時更新系統整體綜合風險等級。通過該過程，安全風險計算不僅僅與單個事件有關，更增強了與整體系統風險的關聯關系，使得自適應安全風險治理在技術上成為可能。

圖5 風險損失量化模型參與整體系統風險等級計算實現自適應安全防護

7 技術應用價值

通過基于落地風險損失量化計算模型的網絡安全應急處置技術，企業可以實現真正動態自適應的安全風險治理。以一個具體的事件為例。

態勢感知告警：“某個員工賬號被攻擊者盜用，正在通過一個CDN IP地址訪問CRM系統?！?/p>

針對上述場景，主流的風險計算邏輯會判定為一個風險等級很高的安全事件，需要安全人員對訪問這IP地址立即采取封禁措施。但針對來訪者IP地址進行直接封禁過于暴力，容易導致正常用戶訪問企業服務受到影響。

通過本文提到的基于風險損失量化模型的網絡安全應急處置技術，系統可以根據該事件自身的嚴重度、受影響系統、訪問來源、訪問途徑等方式計算出一個數值。根據該數值可以決策出多個安全處置措施，其中操作影響度最低的是：凍結該員工賬號。系統可以優先自主決策和執行該策略，然后同步通知安全人員跟進。

越來越多的應用實踐表明，基于風險損失量化模型的網絡安全應急處置技術可以為企業帶來革命化的安全運營體驗，總體受益在多個方面都有體現。

（1）降低誤報，提升告警準確度

企業業務系統紛繁復雜，每天面臨各類攻擊威脅，安全告警事件量大，誤報問題嚴重，應急響應工作應接不暇。通過實施基于風險損失量化模型的安全應急處置系統后，收效明顯。由于風險計算邏輯更加科學，風險判定的準確性大幅提升。誤報率下降帶來的效果是安全告警處置決策更加精準、智能，響應更加有目標，效果更好。

（2）縮短時間，提高應急響應效率

因為有了自動化、智能化的決策依據，安全事件處置速度更快，響應時間大大幅縮短，處置效率得到了提升。部分場景甚至可以無需人工參與，做到7×24小時自動化運營。

8 結束語

本文探討了一種基于風險損失量化模型的網絡安全應急處置技術方法。通過該方法，企業或組織可以改進當前安全事件運營過程中風險計算不科學，決策依據不足，響應不及時的問題。該方法和策略已經在相關企業的實踐中得到應用，并取得了一些成績?；谠摲椒ǖ奶剿骱吐涞厥录?，企業將獲得高速、高質量的安全事件響應風險計算方法，綜合安全風險處置能力得到更大的提升。

9 術語

SIEM：Security Information & Event Management，安全信息事件管理。

SOC：Security Operating Center，安全運營中心。

IACD：Integrated Adaptive Cyber Defense，集成自適應網絡防護。