袁宏亮

摘要：日前企業(yè)安全運(yùn)營(yíng)中心的安全事件日益增多，占據(jù)了安全工程師大量的時(shí)間，導(dǎo)致安全響應(yīng)時(shí)間長(zhǎng)、人工介入多，相關(guān)處理過(guò)程難以定量評(píng)估。本文將從Soar技術(shù)的原理和應(yīng)用案例淺析在安全管理當(dāng)中的安全編排、自動(dòng)化與響應(yīng)解決方案。

關(guān)鍵詞：安全運(yùn)營(yíng);自動(dòng)化響應(yīng);Soar

一、企業(yè)安全現(xiàn)狀

隨著網(wǎng)絡(luò)安全行業(yè)日益火熱，各類網(wǎng)絡(luò)黑客技術(shù)和工具也越來(lái)越多，普通程序員利用網(wǎng)絡(luò)上共享的安全工具就可以十分快捷的上線并進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)。例如，微軟官方于2020年3月公布了CVE-2020-0796漏洞，提示用戶SMB服務(wù)存在遠(yuǎn)程代碼執(zhí)行高危漏洞。僅在漏洞公布不久，相應(yīng)POC漏洞利用工具已經(jīng)出現(xiàn)在github平臺(tái)上，僅需安裝python運(yùn)行環(huán)境即可運(yùn)行攻擊腳本發(fā)起網(wǎng)絡(luò)攻擊。由此可見(jiàn)，網(wǎng)絡(luò)安全攻擊者攻擊成本日益降低，安全事件數(shù)量增長(zhǎng)率日益高漲。

目前一般大中型企業(yè)都已經(jīng)建立了相對(duì)比較完備的安全運(yùn)營(yíng)中心（下稱為SOC），在SOC的運(yùn)營(yíng)過(guò)程中經(jīng)常會(huì)遇到以下問(wèn)題：

（一）大量的安全事件需要安全工程師介入，安全工程師分析的時(shí)間被許多無(wú)關(guān)緊要的事件消耗。導(dǎo)致安全響應(yīng)執(zhí)行過(guò)程、響應(yīng)時(shí)間長(zhǎng)，人工介入多，安全工作無(wú)法閉環(huán)。

（二）安全運(yùn)營(yíng)內(nèi)包括多維度的調(diào)查取證、漏洞驗(yàn)證、安全策略變更等，需跨多系統(tǒng)多部門(mén)同步協(xié)作，導(dǎo)致安全閉環(huán)推進(jìn)成本增加。

（三）一次常規(guī)的事件響應(yīng)，至少涉及10個(gè)以上系統(tǒng)或程序，安全人員自身感覺(jué)耗時(shí)耗力，安全應(yīng)急嚴(yán)重依賴人工操作。

二、Soar定義

Soar技術(shù)全稱是 Security Orchestration， Automation and Response，安全編排和自動(dòng)化響應(yīng)，是Gartner2017年提出的概念。Soar的產(chǎn)生就是為了解決以上提到的各類SOC運(yùn)營(yíng)問(wèn)題，主要包括以下幾個(gè)方面：

（一）Orchestration，編排。與過(guò)去相比，現(xiàn)在的安全運(yùn)營(yíng)中心需要整合大量的系統(tǒng)，要滿足這些需求，必然需要的提供豐富的事件響應(yīng)與處理編排能力，可以進(jìn)行流程定制，流程執(zhí)行。

（二）Automation，自動(dòng)化。當(dāng)前安全分析師工作量和內(nèi)容都大大增加。數(shù)據(jù)是海量的數(shù)據(jù)，大量的數(shù)據(jù)需要使用自動(dòng)化方式去處理。

（三）合理的KPI評(píng)估體系。系統(tǒng)提供編排與自動(dòng)化執(zhí)行能力，根據(jù)評(píng)估結(jié)果，可以進(jìn)行流程再造，優(yōu)化我們的編排內(nèi)容，帶來(lái)整個(gè)SOC的效率提升。

因此結(jié)合Soar定義，我們可以將目標(biāo)確定為減少人工參與，固化處理流程，融合人工智能，加快威脅響應(yīng)，及時(shí)減少損失。

三、Soar平臺(tái)聯(lián)動(dòng)架構(gòu)

我們將Soar與人工智能、RPA等多項(xiàng)工具融合，可以實(shí)現(xiàn)在智能安全編排、自動(dòng)化響應(yīng)過(guò)程中的多項(xiàng)應(yīng)用。其在SOC中的運(yùn)行架構(gòu)可用下圖表示。

在收到一些威脅情報(bào)或攻擊檢測(cè)等之后，會(huì)出發(fā)Soar平臺(tái)的告警閾值，平臺(tái)依據(jù)原本安排好的決策劇本進(jìn)行智能決策，迅速響應(yīng)同步至各大平臺(tái)，在安全產(chǎn)品上完成信息同步，在網(wǎng)絡(luò)產(chǎn)品上更新策略信息以及在各類It系統(tǒng)中完成響應(yīng)防御操作，為防護(hù)方爭(zhēng)取較多的時(shí)間。

Soar與機(jī)器學(xué)習(xí)等技術(shù)相結(jié)合，可實(shí)現(xiàn)人機(jī)協(xié)同作戰(zhàn)的應(yīng)用場(chǎng)景。通過(guò)給平臺(tái)提供相近領(lǐng)域的樣本訓(xùn)練，平臺(tái)基于歷史數(shù)據(jù)借助機(jī)器學(xué)習(xí)算法進(jìn)行統(tǒng)計(jì)模擬后，可實(shí)現(xiàn)持續(xù)的“自學(xué)習(xí)、自優(yōu)化”實(shí)現(xiàn)安全運(yùn)營(yíng)可持續(xù)優(yōu)化。安全工程師可通過(guò)文字方式給平臺(tái)機(jī)器人下達(dá)執(zhí)行，平臺(tái)通過(guò)機(jī)器學(xué)習(xí)、語(yǔ)境關(guān)聯(lián)自動(dòng)反饋安全建議。平臺(tái)也可以基于安全事件、威脅情報(bào)等自動(dòng)化生成腳本，并結(jié)合人工驗(yàn)證的方式最后一鍵全部部署，完成了安全事件和威脅情報(bào)下人機(jī)的協(xié)同作戰(zhàn)。

四、應(yīng)用案例

以下分享基于Soar實(shí)現(xiàn)封鎖清除失陷主機(jī)并加固的流程：

平臺(tái)在檢測(cè)到類似漏洞信息后，開(kāi)始分析流程，對(duì)靶機(jī)進(jìn)行判斷檢測(cè)，判斷如確認(rèn)遭受漏洞攻擊，系統(tǒng)自動(dòng)流轉(zhuǎn)到處置環(huán)節(jié)開(kāi)啟全境掃描封鎖。對(duì)于確認(rèn)未感染的機(jī)器，平臺(tái)直接完成補(bǔ)丁加固或規(guī)避方案;對(duì)已經(jīng)感染的主機(jī)統(tǒng)一進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制ACL隔離、刪除響應(yīng)定時(shí)任務(wù)和可疑文件等操作，防止被感染靶機(jī)橫向擴(kuò)散。在檢測(cè)過(guò)程中，如若確定威脅誤判，系統(tǒng)可自動(dòng)生成運(yùn)維工單，提醒安全工程師對(duì)規(guī)則進(jìn)行補(bǔ)充和更新，減少誤報(bào)頻率。

五、小結(jié)

Soar平臺(tái)可以企業(yè)SOC運(yùn)營(yíng)降低較多成本。傳統(tǒng)一封釣魚(yú)郵件可能需要1-2小時(shí)完成響應(yīng)，建立平臺(tái)后可在5-10分鐘內(nèi)進(jìn)行溯源分析;傳統(tǒng)封閉某個(gè)IP地址或網(wǎng)段需要網(wǎng)絡(luò)工程師5-10分鐘的操作時(shí)間，在搭建平臺(tái)后可實(shí)現(xiàn)10秒內(nèi)完成封禁。

作者簡(jiǎn)介：

袁宏亮（1995.09）男，湖北通城籍，本科學(xué)歷，單位：興業(yè)銀行武漢分行信息科技部。