薛 亮 周 飛 段 煉

中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司

0 引言

近年來(lái)安全威脅發(fā)生了很大變化，APT（高級(jí)持續(xù)性威脅）攻擊事件、新興威脅日益增加。依據(jù)現(xiàn)有規(guī)則、關(guān)聯(lián)分析等技術(shù)進(jìn)行安全風(fēng)險(xiǎn)識(shí)別分析與防控已越來(lái)越難以滿足未來(lái)的發(fā)展趨勢(shì)。隨著IT技術(shù)和環(huán)境的變化，信息安全已經(jīng)完成了保密通信信息、全面動(dòng)態(tài)防護(hù)、構(gòu)建可信系統(tǒng)三個(gè)階段的發(fā)展，現(xiàn)已逐步向以安全編排為核心的自動(dòng)化處置與響應(yīng)階段過(guò)渡。當(dāng)前的安全技術(shù)發(fā)展趨勢(shì)是，須充分利用自動(dòng)化處置技術(shù)，結(jié)合安全編排能力，構(gòu)筑自動(dòng)化平臺(tái)，提供以自動(dòng)化&安全編排為核心，匯聚和構(gòu)建不同場(chǎng)景的安全運(yùn)營(yíng)能力，為前端業(yè)務(wù)運(yùn)營(yíng)提供按需定制的安全服務(wù)，實(shí)現(xiàn)“整合安全資源組件、沉淀安全業(yè)務(wù)場(chǎng)景”，為安全能力服務(wù)的快速交付與運(yùn)營(yíng)提供支撐，降低人工風(fēng)險(xiǎn)排查成本，提升安全縱深防御能力，構(gòu)建智慧、主動(dòng)的立體安全體系。

研究小組鑒于對(duì)以上的安全形勢(shì)、安全技術(shù)發(fā)展趨勢(shì)分析，確定采用近年安全行業(yè)發(fā)展較為迅速的SOAR（安全編排與自動(dòng)化響應(yīng)）技術(shù)理念，研究探索并打造基于安全編排的自動(dòng)化安全運(yùn)營(yíng)處置系統(tǒng)，作為安全處置的控制樞紐，其具備自動(dòng)化的安全分析、安全處置、安全運(yùn)營(yíng)能力，上接各類安全數(shù)據(jù)源如大數(shù)據(jù)分析平臺(tái)、態(tài)勢(shì)平臺(tái)、SIEM（安全信息和事件管理）平臺(tái)，下接各種安全基礎(chǔ)系統(tǒng)、工單運(yùn)維系統(tǒng)，快速完成安全運(yùn)營(yíng)處置自動(dòng)化流程定制，支撐各業(yè)務(wù)系統(tǒng)對(duì)安全處置業(yè)務(wù)能力的需求，并在多個(gè)安全響應(yīng)場(chǎng)景中進(jìn)行應(yīng)用。

1 總體設(shè)計(jì)

自動(dòng)化安全運(yùn)營(yíng)處置系統(tǒng)為安全業(yè)務(wù)處置提供便利的編排能力，可以根據(jù)安全業(yè)務(wù)場(chǎng)景完成流程定制。通過(guò)自動(dòng)處置流程引擎將自動(dòng)化能力貫穿到安全分析、安全處置、安全運(yùn)營(yíng)體系中，并對(duì)執(zhí)行過(guò)程、執(zhí)行結(jié)果進(jìn)行管理，節(jié)省時(shí)間、人力、成本，也避免人在處理大量數(shù)據(jù)的過(guò)程中帶來(lái)的誤差或失誤[1]。針對(duì)未知安全事件能夠統(tǒng)一協(xié)調(diào)相關(guān)人員通過(guò)各類自動(dòng)化工具完成安全事件生命周期的統(tǒng)一處置?？傮w來(lái)說(shuō)，通過(guò)研究并構(gòu)建自動(dòng)化的安全運(yùn)營(yíng)處置系統(tǒng)，拉通了人、設(shè)備與流程之間的關(guān)系，建立了長(zhǎng)效的安全處置機(jī)制。

系統(tǒng)總體邏輯架構(gòu)如圖1所示。

圖1 總體邏輯架構(gòu)

系統(tǒng)的總體功能架構(gòu)如圖2所示。

圖2 總體功能架構(gòu)

安全場(chǎng)景編排是自動(dòng)化編排與響應(yīng)系統(tǒng)的核心能力，主要包括設(shè)備插件管理、自動(dòng)化腳本、劇本可視化編排三大類主要能力：

（1）插件管理負(fù)責(zé)配置管理各類安全組件，根據(jù)實(shí)際安全需求動(dòng)態(tài)對(duì)接管理安全設(shè)備，如防火墻、防病毒、WAF等安全設(shè)備。通過(guò)配置、管理、對(duì)接安全設(shè)備的具體指令，如任務(wù)下發(fā)接口、指令下發(fā)接口等，實(shí)現(xiàn)安全設(shè)備聯(lián)動(dòng)。

（2）自動(dòng)化腳本是業(yè)務(wù)邏輯實(shí)現(xiàn)的最小單元，通過(guò)腳本可以實(shí)現(xiàn)參數(shù)類型轉(zhuǎn)換、負(fù)載優(yōu)化算法、業(yè)務(wù)邏輯判斷等具體算法。

（3）劇本是對(duì)腳本、插件編排的具體描述，用來(lái)定義安全事件響應(yīng)的具體流程、步驟。

安全事件處理不僅要應(yīng)對(duì)已知威脅，同時(shí)針對(duì)未知的安全事件需要協(xié)調(diào)處理管理功能。針對(duì)未知的安全事件引入案件管理概念，對(duì)接受到新的未知安全事件統(tǒng)一轉(zhuǎn)化為案件，進(jìn)行人工處理。并能夠針對(duì)案件進(jìn)行經(jīng)驗(yàn)總結(jié)并編寫(xiě)對(duì)應(yīng)的處置劇本，為相同的事件提供統(tǒng)一的自動(dòng)化處理流程。

基于安全編排的自動(dòng)化安全運(yùn)營(yíng)處置系統(tǒng)的數(shù)據(jù)流如圖3所示。

圖3 安全運(yùn)營(yíng)處置系統(tǒng)數(shù)據(jù)流向示意

自動(dòng)響應(yīng)處置需要依賴自動(dòng)化的引擎，對(duì)應(yīng)著可視化編排的劇本和自動(dòng)化的腳本，需要分別有相應(yīng)的引擎對(duì)其解釋并運(yùn)行：

（1）自動(dòng)化流程引擎

自動(dòng)化流程引擎作為工作流的實(shí)際執(zhí)行者，接受自動(dòng)化安全劇本，解析安全劇本，解釋劇本中描述的流程信息，生成自動(dòng)化任務(wù)并完成自動(dòng)化執(zhí)行：①自動(dòng)化劇本執(zhí)行：按照預(yù)設(shè)場(chǎng)景自動(dòng)執(zhí)行預(yù)制的響應(yīng)劇本，安全告警事件關(guān)聯(lián)編排劇本并執(zhí)行；②劇本執(zhí)行過(guò)程監(jiān)控：監(jiān)控劇本的任務(wù)執(zhí)行情況，包括劇本所有步驟節(jié)點(diǎn)的執(zhí)行狀態(tài)情況，包括流程執(zhí)行內(nèi)容、日志等信息，方便及時(shí)解決劇本執(zhí)行過(guò)程中出現(xiàn)的問(wèn)題。

（2）自動(dòng)化腳本引擎

自動(dòng)化腳本引擎作為自定義腳本的實(shí)際執(zhí)行者，能夠接受安全劇本節(jié)點(diǎn)中的腳本，在腳本流程任務(wù)中解釋、執(zhí)行腳本程序與指令：①接受執(zhí)行自定義腳本，自定義腳本采用解釋方式運(yùn)行，無(wú)需編譯，隨時(shí)修改隨時(shí)失效，便于安全運(yùn)營(yíng)人員根據(jù)安全需求隨時(shí)進(jìn)行調(diào)整；②支持Python腳本語(yǔ)言，不論開(kāi)發(fā)人員、運(yùn)維人員、安全運(yùn)營(yíng)人員都可快速掌握。

2 安全事件處置場(chǎng)景自動(dòng)化

在整個(gè)安全告警事件處置場(chǎng)景的過(guò)程中，需要有準(zhǔn)確的資產(chǎn)信息，研究小組將安全運(yùn)營(yíng)處置系統(tǒng)與資產(chǎn)管理系統(tǒng)進(jìn)行數(shù)據(jù)同步，為所有資產(chǎn)信息提供可靠的數(shù)據(jù)來(lái)源，自動(dòng)增加和更新資產(chǎn)信息庫(kù)[2]。

劇本編排作為安全運(yùn)營(yíng)處置系統(tǒng)的核心功能，通過(guò)分析安全事件分析、處置的需求，研究小組根據(jù)不同場(chǎng)景建立了多個(gè)劇本，將安全事件處置流程的業(yè)務(wù)邏輯進(jìn)行串聯(lián)，極大提高了本單位安全運(yùn)營(yíng)處置的工作效率。具體如下：

2.1 場(chǎng)景1：高級(jí)威脅分析

威脅分析是所有企業(yè)安全運(yùn)營(yíng)工作團(tuán)隊(duì)在安全事件響應(yīng)期間執(zhí)行的首要任務(wù)之一。這里的挑戰(zhàn)是雙重的，首先了解全面的威脅信息指標(biāo)需要跨平臺(tái)調(diào)用不同的工具，其次威脅分析的結(jié)果需要及時(shí)傳遞給各防護(hù)組件以便及時(shí)更新各防護(hù)組件的指標(biāo)、策略庫(kù)來(lái)阻止重復(fù)的攻擊。安全編排劇本可以通過(guò)查詢不同的威脅情報(bào)工具來(lái)自動(dòng)豐富指標(biāo)。通過(guò)在事件響應(yīng)開(kāi)始時(shí)運(yùn)行這個(gè)劇本，企業(yè)的安全運(yùn)營(yíng)人員可以在幾秒鐘內(nèi)獲得豐富的數(shù)據(jù)進(jìn)行研究，從而避免人工逐個(gè)訪問(wèn)各個(gè)安全防護(hù)組件查詢信息所浪費(fèi)的時(shí)間，同時(shí)能夠?qū)⒎治鼋Y(jié)論及時(shí)更新各監(jiān)視列表和威脅數(shù)據(jù)庫(kù)[3]。高級(jí)威脅分析自動(dòng)化劇本如圖4所示。

圖4 高級(jí)威脅分析自動(dòng)化劇本

劇本說(shuō)明：（1）獲取流量原始日志解析提取流量信息；（2）對(duì)威脅攻擊指標(biāo)進(jìn)行補(bǔ)充，使用多種威脅情報(bào)工具豐富實(shí)體的詳細(xì)信息。例如，使用威脅情報(bào)工具來(lái)豐富URL信息，使用DNS服務(wù)來(lái)豐富IP信息，并使用威脅情報(bào)工具和沙箱等惡意軟件分析工具來(lái)豐富文件信息；（3）根據(jù)各項(xiàng)威脅攻擊指標(biāo)判斷是否為惡意流量；（4）更新情報(bào)庫(kù)，劇本基于標(biāo)識(shí)的惡意動(dòng)作初始響應(yīng)動(dòng)作。例如，將惡意指標(biāo)反饋到威脅情報(bào)數(shù)據(jù)庫(kù)和工具監(jiān)控列表中，以避免攻擊。

2.2 場(chǎng)景2：惡意流量處置

面對(duì)未知威脅、APT攻擊，傳統(tǒng)防御體系仍然適用，但效果有限，在整個(gè)處置環(huán)境中需要充分協(xié)調(diào)分析、處置等環(huán)節(jié)才能做到有效防護(hù)。安全編排劇本可以將流量分析工具、沙箱驗(yàn)證、防火墻/IPS等工具融合到同一流程中，減少安全運(yùn)營(yíng)人員工作量，加快響應(yīng)速度。惡意流量處置劇本如圖5所示。

圖5 惡意流量處置劇本

劇本說(shuō)明：（1）劇本可以從各種來(lái)源獲取數(shù)據(jù)，如SIEMs、流量監(jiān)測(cè)設(shè)備；（2）對(duì)流量進(jìn)行檢測(cè)分析，并對(duì)原始數(shù)據(jù)進(jìn)行補(bǔ)充豐富；（3）判斷是否為惡意流量，生成封堵策略安全人員確認(rèn)；（4）調(diào)用網(wǎng)絡(luò)工具完成封堵并驗(yàn)證封堵效果。

2.3 場(chǎng)景3：可疑文件分析

事件響應(yīng)過(guò)程中的一個(gè)重要調(diào)查步驟是在沙箱中進(jìn)行可疑文件的分析，但是，由于惡意軟件分析工具與其他安全產(chǎn)品是獨(dú)立的，安全分析人員在執(zhí)行這項(xiàng)重復(fù)任務(wù)的同時(shí)還要在各個(gè)控制臺(tái)之間進(jìn)行協(xié)調(diào)，這對(duì)他們來(lái)說(shuō)是一種負(fù)擔(dān)。將結(jié)果粘貼到另一個(gè)控制臺(tái)進(jìn)行文檔記錄也非常耗時(shí)，并且增加了出錯(cuò)的幾率。安全編排劇本可以將整個(gè)文件調(diào)查過(guò)程自動(dòng)化，既可以作為一個(gè)獨(dú)立的工作流，也可以與其他工具協(xié)同工作。這確保了分析人員不會(huì)浪費(fèi)時(shí)間執(zhí)行活動(dòng)，能夠從劇本流程的分析結(jié)果中獲益，并且由于劇本在核心控制臺(tái)記錄所有操作的結(jié)果，因此也不需要事后手動(dòng)記錄操作過(guò)程，極大提高可疑文件分析的效率?？梢晌募治鰟”救鐖D6所示。

圖6 可疑文件分析劇本

劇本說(shuō)明：（1）劇本可以從各種來(lái)源獲取數(shù)據(jù)，如SIEMs、郵箱、威脅情報(bào)源和惡意軟件分析工具；（2）從獲取的數(shù)據(jù)中提取需要調(diào)查的惡意文件；（3）將調(diào)查文件上傳文件到惡意軟件分析工具進(jìn)行調(diào)查和生成報(bào)告；（4）如果發(fā)現(xiàn)文件是惡意文件，則劇本會(huì)使用該信息更新相關(guān)的監(jiān)視列表/黑名單。從這里開(kāi)始，劇本可以擴(kuò)展到其他操作，例如隔離受感染的端點(diǎn)，以及協(xié)調(diào)來(lái)自其他第三方威脅源的數(shù)據(jù)。

2.4 場(chǎng)景4：惡意軟件感染場(chǎng)景

終端保護(hù)是事件響應(yīng)的關(guān)鍵部分，安全運(yùn)營(yíng)團(tuán)隊(duì)經(jīng)常需要在端點(diǎn)工具和其他安全工具之間進(jìn)行協(xié)調(diào)，同時(shí)打開(kāi)多個(gè)控制臺(tái)，并花費(fèi)寶貴的時(shí)間執(zhí)行重復(fù)的手動(dòng)處置工作。安全編排劇本可以將態(tài)感知平臺(tái)和端點(diǎn)工具之間的流程統(tǒng)一到一個(gè)工作流中，在將分析人員引入重要決策和調(diào)查活動(dòng)之前自動(dòng)執(zhí)行需要重復(fù)操作的步驟。

面對(duì)越來(lái)越多的勒索軟件，以及越來(lái)越多的定向攻擊APT，傳統(tǒng)的病毒碼已經(jīng)無(wú)法抵御勒索軟件等APT的威脅，可以結(jié)合可疑文件分析劇本與惡意文件處理劇本來(lái)建立一套勒索軟件及定向攻擊APT分析處置流程[4]。惡意軟件處理劇本如圖7所示。

圖7 惡意軟件處理劇本

劇本說(shuō)明：（1）劇本從各種來(lái)源獲取數(shù)據(jù)，如SIEMs、惡意軟件分析工具、終端防病毒工具；（2）調(diào)用可疑文件分析自劇本進(jìn)行文件驗(yàn)證；（3）查詢感染主機(jī)；（4）隔離主機(jī)、主機(jī)殺毒處理、主機(jī)加固。

2.5 場(chǎng)景5：漏洞管理場(chǎng)景

漏洞管理涵蓋了各種主動(dòng)和被動(dòng)的安全操作，安全運(yùn)營(yíng)團(tuán)隊(duì)經(jīng)常無(wú)法成功地跨環(huán)境關(guān)聯(lián)數(shù)據(jù)，需要花費(fèi)太多時(shí)間來(lái)統(tǒng)一上下文，而沒(méi)有足夠的時(shí)間來(lái)補(bǔ)救漏洞。在將控制權(quán)交給分析師進(jìn)行手動(dòng)修復(fù)之前，安全編排劇本可以自動(dòng)充實(shí)漏洞信息和增加漏洞上下文。通過(guò)確保分析人員的時(shí)間不是花在執(zhí)行重復(fù)的任務(wù)上，而是花在做出關(guān)鍵的決策和推斷上，從而保持自動(dòng)化和手動(dòng)過(guò)程之間的平衡[5]。漏洞管理劇本如圖8所示。

圖8 漏洞管理劇本

劇本說(shuō)明：（1）驅(qū)動(dòng)漏掃工具完成資產(chǎn)漏洞掃描任務(wù)；（2）獲取漏掃結(jié)果；（3）通過(guò)相關(guān)工具豐富漏洞信息，如資產(chǎn)信息；（4）通過(guò)漏洞管理工具查詢與該漏洞相關(guān)的信息，后果和補(bǔ)救措施；（5）將通知相應(yīng)安全分析或運(yùn)維人員進(jìn)行手動(dòng)調(diào)查和修復(fù)漏洞；（6）修補(bǔ)效果驗(yàn)證。

2.6 場(chǎng)景6：惡意郵件處置場(chǎng)景

郵件系統(tǒng)連接互聯(lián)網(wǎng)，隨著辦公業(yè)務(wù)的發(fā)展及人員的擴(kuò)充，郵件服務(wù)的穩(wěn)定性和安全性愈發(fā)重要。釣魚(yú)郵件是最常見(jiàn)的、最容易執(zhí)行的、最有害的安全攻擊之一。超過(guò)90%的數(shù)據(jù)泄露都是從網(wǎng)絡(luò)釣魚(yú)郵件開(kāi)始的，因此潛在的經(jīng)濟(jì)損失是真實(shí)存在的。安全分析師在應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊時(shí)面臨諸多挑戰(zhàn)，例如，如何在不耗盡精力的情況下處理攻擊事件；如何避免在多個(gè)屏幕之間頻繁切換進(jìn)行快速分析與響應(yīng)；如何在完成日常處置任務(wù)時(shí)避免人為錯(cuò)誤；如何進(jìn)行快速報(bào)告輸出等，都是令人擔(dān)憂的問(wèn)題。安全運(yùn)營(yíng)處置系統(tǒng)可以使用“網(wǎng)絡(luò)釣魚(yú)劇本”，以快速執(zhí)行重復(fù)的任務(wù)，識(shí)別誤報(bào)，并與郵件防護(hù)系統(tǒng)進(jìn)行對(duì)接聯(lián)動(dòng)、協(xié)同，進(jìn)行標(biāo)準(zhǔn)化的網(wǎng)絡(luò)釣魚(yú)郵件響應(yīng)[6]。惡意郵件處理流程劇本如圖9所示。

圖9 惡意郵件處理流程劇本

劇本說(shuō)明：（1）發(fā)起漏掃任務(wù)（漏掃工具漏掃任務(wù)接口）；（2）獲取漏掃結(jié)果（漏掃工具結(jié)果查詢接口）；（3）匯總漏掃信息以及補(bǔ)救措施（漏洞管理庫(kù)查詢接口、補(bǔ)丁下載接口）；（4）確認(rèn)漏掃結(jié)果；（5）生成整改工單發(fā)送整改人（工單系統(tǒng)工單接口）；（6）整改完成負(fù)責(zé)人確認(rèn)；（7）完結(jié)歸檔。

安全運(yùn)營(yíng)處置系統(tǒng)目前具備這6類場(chǎng)景的自動(dòng)處置劇本，具備穩(wěn)定的性能、可靠的安全性、擴(kuò)展性和可管理性。在事件響應(yīng)管理方面，通過(guò)預(yù)定義的調(diào)查模式自動(dòng)聚合事件、告警和相關(guān)的上下文信息；在安全編排方面，使用自動(dòng)化，例如，告警的上下文豐富、通過(guò)集成和聯(lián)動(dòng)其他安全響應(yīng)能力；在威脅搜索方面，支持匹配搜索日志，事件，網(wǎng)絡(luò)數(shù)據(jù)包，網(wǎng)絡(luò)會(huì)話；在與第三方系統(tǒng)的集成方面，支持與第三方系統(tǒng)的集成以支持工作流和自動(dòng)化功能，例如API，Web調(diào)用等。

安全運(yùn)營(yíng)處置系統(tǒng)已應(yīng)用在我司網(wǎng)絡(luò)安全運(yùn)營(yíng)與防護(hù)的工作過(guò)程中，對(duì)于運(yùn)營(yíng)效率提升明顯。

（1）實(shí)施前流程中日均上萬(wàn)條威脅數(shù)據(jù)必須依靠人工的甄別方式進(jìn)行分析和處置，即便分類處置，仍然工作量巨大。實(shí)施后依據(jù)劇本定制的快捷優(yōu)勢(shì)，對(duì)于大多數(shù)的安全威脅風(fēng)險(xiǎn)無(wú)需人工甄別和處置風(fēng)險(xiǎn)，全天候自動(dòng)快速準(zhǔn)確處置威脅。

（2）實(shí)施前處置流程定制化設(shè)備接入和處置流程平均每流程需花費(fèi)較多的研發(fā)、測(cè)試的工作量，流程上線后任何需求變更也要經(jīng)過(guò)開(kāi)發(fā)、測(cè)試、上線等階段，時(shí)間也較為冗長(zhǎng)。研究小組通過(guò)安全運(yùn)營(yíng)處置系統(tǒng)的自動(dòng)化編排和處置能力，可以在短時(shí)間內(nèi)完成設(shè)備的接入和自動(dòng)化流程劇本編制、處理時(shí)間可達(dá)到小時(shí)級(jí)完成，定制化成本大幅縮減。

（3）實(shí)施前處置流程較為粗礦，只能針對(duì)較寬泛的類別對(duì)威脅進(jìn)行處置，實(shí)施后的每一類威脅均可快速定義劇本，根據(jù)劇本精準(zhǔn)處理威脅。

（4）安全運(yùn)營(yíng)處置系統(tǒng)每天精準(zhǔn)自動(dòng)化處置安全威脅上萬(wàn)條。除了已知安全事件，針對(duì)未知的安全事件引入案件管理概念，對(duì)接受到的未知安全事件統(tǒng)一轉(zhuǎn)化為案件，進(jìn)行人工處理，編寫(xiě)對(duì)應(yīng)的處理劇本，大幅增加未知風(fēng)險(xiǎn)的甄別能力。

3 結(jié)束語(yǔ)

研究小組通過(guò)SOAR（安全編排與自動(dòng)化響應(yīng)）技術(shù)的深入研究探索，結(jié)合實(shí)際安全運(yùn)營(yíng)工作場(chǎng)景進(jìn)行應(yīng)用探索，有效解決了安全工作中的一些長(zhǎng)期存在的痛點(diǎn)、難點(diǎn)安全問(wèn)題，同時(shí)也大幅提高安全運(yùn)營(yíng)工作的效率?；诋?dāng)前的研究成果與進(jìn)一步的技術(shù)研究，研究小組認(rèn)為，未來(lái)可以進(jìn)一步研究探索利用自動(dòng)化的安全運(yùn)營(yíng)處置系統(tǒng)，將其作為關(guān)鍵的能力聚合樞紐，做到企業(yè)各安全平臺(tái)原子化能力的整合以及實(shí)現(xiàn)企業(yè)開(kāi)放的安全能力運(yùn)營(yíng)中心（SOC）[7]。