官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
衔星揽月- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
衔星揽月 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
闲谈:
从开始了解SOAR技术、参与方案设计、项目实施落地做了有段时间了,随着项目慢慢深入,延展了对SOAR类产品理解范围,并且有了一些新的领悟。近期得空,想对SOAR的应用实践做个小结。如果能给刚接触SOAR类产品的小伙伴带来一些新的思路、启发,在工作中能少走一点弯路,那就更好了。
SOAR介绍
Ps:网上已有许多介绍SOAR的文章,这里就不在过多介绍,为保证总结完整性,稍作赘述。
概述:
SOAR(Security Orchestration,Automation and Response安全编排自动化响应),Gartner 对 SOAR 的最新描述性定义(摘自 Gartner 报告《Hype Cycle on Threat-Facing Technologies, 2018》) 是:SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。
翻译一个通俗版本:
SOAR是一套安全自动化技术。基于SOAR技术的系统(以下简称SOAR),通过接收SOC/SIEM/态势感知系统、人工创建的事件,然后利用剧本(预先编排好的、可以自动执行的事件处置流程。)调度网内已经购买的安全产品,开展自动化响应处置工作;SOAR在整个事件处置过程中,处于连接中枢和调度指挥中心的角色。 
Ps:该图摘自《雾帜智能HoneyGuide-SOAR智能安全运营解决方案》
SOAR应用效果:
SOAR将以天、小时、分钟为单位安全事件处置工作,缩短为以小时级、分钟级,甚至秒级完成。帮助安全团队加速威胁响应与处置,提升运营自动化,实现风险自适应治理;达到降缩短响应时间,最终超越网络攻击的速度和规模;减少损失,降本增效的效果。
下面我以近期项目为例,与大家一起梳理实践过程:
背景:
A公司设有1个总部、多个二、三级单位,其中个别二单位跨省设在异地;总部设有安全组5人、各二级单位设有安全岗1人(兼职);多年安全建设已具备基础安全能力,安全相关设备包括态势感知、防火墙、漏扫、威胁情报、蜜罐、WAF、VPN、堡垒机、IPS等;每天告警数量达6500+;日常工作中,特别关注处置挖矿、僵木蠕、恶意软件、弱口令、钓鱼、扫描事件。
项目需求场景:
PS:SOAR安全编排自动化响应工作是一个循序渐进的过程,1次无法穷举所有安全场景进行自动化。通常在运营过程中,需要逐步实现对各类安全事件处置工作进行加速、提效,优先将最重要、核心关注的事件处置场景实现自动化处置。当然,首先要具备SOAR的能力,上SOAR系统、或是自研。
(项目调研、沟通过程,略.....)
场景1、对挖矿、僵木蠕、恶意程序、弱口令、钓鱼事件处置等告警事件自动研判、封禁、通告等处置动作。
场景2、对需求1告警外的高可信告警事件自动处置。
场景设计思路:
1、针对上述两类需求,梳理自动化编排的场景。在设计剧本时,需要考虑,接入SOAR系统的事件包含真实攻击事件、误报事件、攻击失败事件三类,为了确保事件处置准确性、和效率,剧本需要对这三类事件进行设计:
1)真实攻击事件:
- 这部分告警可信度高,结合少量研判条件,可以直接自动完成处置操作。
- 对单位时间内,出现符合特征的重复告警事件,需要自动合并为一条告警事件,并进行自动封禁、通告等处置操作。其中,特征可以自定义,比如攻击源、攻击类型相同的告警;源、攻击目的地址相同的告警等。
PS:实操中这部分告警相对来说,还是比较容易处理的。
2)误报事件:
- 误报事件辅助研判:收集与事件相关的资产、威胁情报、白名单、Playload等信息,对于事件相关的多个情报交叉印证;并与现有安全系统告警事件、信息碰撞,研判为非误报事件自动处置。
- 自动过滤掉已经加白的告警事件。这部分考虑是,在各安全设备上报给态势感知的日志,存在没有区分加白的告警,直接全部发给态感。
- 将疑似误报告警自动发送安全人员研判,过滤掉安全设备规则库中逻辑错误的误报;不能排除的、可能与业务相关的误报,自动收集与事件有关的业务人员信息,并告知安全人员,便于共同研判。
- 将研判为误报事件,一键自动获取IOC规则、域名并加白,自动记录误报事件,供后续优化检查规则。
3)攻击失败:
- 对单位时间内出现的低危探测行为,且标记为攻击失败的事件进行自动统计、通告,并关闭事件。
- 中、低危告警,根据攻击频率、结合攻击类型库黑名单自动处置。
2、梳理事件处置流程,流程相同的告警共用一套剧本。 主要包含高危事件处置主剧本。
结合需求场景,主要剧本设计逻辑如下:
1、高危事件处置主剧本
- 先对接收的、特征相同的告警事件合并。
- 过滤掉包含在白名单内的事件,并发出告警通知。
- 从受攻击资产所在单位(A子公司)角度,按照外对内、内对外、内对内3个攻击方向,设计事件处置流程。
- 外对内:
- 互联网攻击A子公司。处置方式:结合威胁情报相信,国外IP直接封禁,国内IP根据攻击频率和攻击时间进行阶梯封禁。
- 公司内部非A子公司攻击A子公司。处置方式:对攻击IP归属地信息,受攻击资产信息、攻击类型库比对、攻击频率等条件研判,进行封禁、整改通告、整改复核等处置操作。
- 外对内:
- 内对外:
- A子公司攻击互联网(目的地址是互联网IP)。处置方式:结合威胁情报、国外IP直接封禁、国内IP根据攻击频率和攻击时间进行阶梯封禁。
- A子公司攻击其他子公司。处置方式:以告警提醒,配合人工审批封禁封禁IP为主。审批不通过的,加白处理。
- 内对内:
- A子公司内部攻击事件。处置方式:获取攻击IP地址资产信息,通知整改、自动复核。
- 内对外:
高危事件处置主剧本
PS:蓝色节点为“整改复核流程”这个流程中包含误报处置逻辑。
2、挖矿、僵木蠕、恶意程序事件处置剧本
- 接收挖矿、僵木蠕、恶意程序告警事件后,获取威胁情报信息、封禁恶意域名
- 判断受攻击资产设备类型、告警类型。
- 如果是服务器、且攻击类型为恶意软件。处置方式为,告警通知、人工整改、整改复核。如果为木马、挖矿类事件,先查杀病毒,复核不通过,再人工介入。
- 如果是PC,先封禁。后续处置操作与服务器类似。
- 最后将封禁的PC 执行解封操作,并关闭工单。
注:蓝色节点为“整改复核流程”这个流程中包含误报处置逻辑。
3、弱口令事件处置剧本
- 获取弱口令告警事件后,找到受攻击资产信息,通过工单系统、作战室通知整改。
- 复核通过后关闭工单。
注:蓝色节点为“整改复核流程”这个流程中包含误报处置逻辑。
4、钓鱼事件处置剧本
本场景包含2个钓鱼邮件处置场景:
- 钓鱼邮件事件处置--整改:
- 人工导入点击邮件人员IP后,自动获取iP对应人员信息,封禁IP;同事发送至二级单位接口人(接口人告知IP对应人员进行安全培训、参加考核),SOAR定期从考核系统上获取“考核通过”的信息后,解封IP。
- 钓鱼邮件事件处置--核实:
- 人工上传钓鱼邮件内容后,解析邮件内容,判断钓鱼类型是附件钓鱼还是url钓鱼。
- 附件钓鱼,获取文件进行沙箱分析,查询威胁情报,判断有无风险,有风险添加DNS黑洞和防火墙黑名单。
- url钓鱼,判断是否在白名单,如果不在,查询威胁情报,判断有无风险,有风险添加DNS黑洞和防火墙黑名单。
5、其他剧本:
5.1【子剧本】整改复核 
5.2【子剧本】误报告警处置
方案效果
(1)综合提高安全运营能力:实现了对安全事件、安全人员、安全设备、安全策略和安全流程的集中运营,降低了沟通成本,目前已可以自动完成日常安全运营中30%+的安全事件处置工作,能够帮助安全防御体系、运营质量等综合能力提升。
(2)全面加快应急处置的速度:以SOAR为核心的安全编排能力,通过自动化响应剧本实现对安全设备能力的组合调度,实现安全事件自动响应,降低了对人员的严重依赖,系统处理效率是以往人工处置的30倍以上,应急响应速度和水平得到了质的提升。
(3)大幅节约安全运营人员投入成本:对安全事件的自动化响应、处置,减少人工干预,降低对人力资源的依赖,减轻了安全团队的工作负担。从长远来可以减少人员投入,实现降本增效的科学化安全运营。
随着后续SOAR在更多安全场景使用,相信将会对安全运营能力进一步提升。
PS:非常感谢你能看到这里,以上为个人观点,欢迎一起交流讨论。:) 如果你也面临文中提到的问题,可以参考文中的观点。或是有供更好的解决方法,欢迎分享。群策群力,共同进步!
已在FreeBuf发表 5 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 5 文章数
- 22 关注者