时间:2023-08-18 作者:奇安信集团
“救死扶伤加特林,妙手回春马克沁。”作为世界上第一台自动机枪,马克沁可谓威力无比,在一战索姆河战役中,一天居然杀伤了60000名英军。一分钟600发子弹的恐怖射速,彻底改变了人类战争形态。可以说,热兵器时代,火力取代兵力,成为决定战争胜负的关键要素。当下如火如荼的网络安全实战攻防演习中也是如此。
“今年的攻防演习,明显攻击队的火力太猛了,给防守方造成极大压力。”奇安信安全攻防专家表示,今年攻击队掌握了如burpsuite、Metasploit等众多攻击工具,进行资产指纹收集、漏洞自动检测、利用以及获取权限等功能。同时攻击队还精心设计了专门接口,以加快攻击过程,实现了工具集成化、平台化,形成完整的自动化攻击链。
不仅如此,这些自动化攻击工具经常共享一个请求,快速处理对应的HTTP消息、持久性、认证、代理、日志和警报,所以在攻击频度上实现了快速连续,在手段上形成组合拳,最终构成饱和式攻击,堪称无数挺“重机枪”同时开火,其火力密集可想而知。
反观防守队,在缺少平台化、集成化防御工具的情况下,严重依赖手工分析和处置,缺少可编排自动化处置能力,最终速度慢、效率低。如同人手一支汉阳造,即便依靠“堆人”的人海战术,依然非常被动。主要集中在以下防守痛点:
第一是无法有效识别真正的告警。在海量的攻击之下,防守方依赖的威胁检测系统、SOC运营平台等,会不可避免的频繁出现告警漏报、误报,使得运营人员无法快速甄别。
第二是无法选取合适的处置策略。封禁IP、阻断攻击虽然操作容易,但同样在密集火力之下,不加鉴别的大量封禁,有可能导致业务受阻。
第三是无法快速处置。防守队依赖于人工分析排查,需要分别操作各类安全设备、系统进行处置,在激烈对抗中,无法像哪吒、杨戬那样三头六臂,分身乏术。经常是直到标靶被打穿,攻击链完成时,也来不及堵漏防御。
最后是查看战果极其繁琐。实战攻防演习期间每天需要总结复盘,安全运营人员本身疲惫了一天,又要汇总各系统防守数据,统计每日战果费时费力,加大运营人员的疲劳度。
总之,每年的实战攻防演习,是网络安全人员的巅峰对决盛会,也是一场地狱级的考验,7×24小时不仅疲惫不堪,还需要时刻提心吊胆。以某中型企业的防守队为例,实战中每日封禁超过1500个,VPN账号加白处置超过80个,守方疲于奔命。一句话,怎一个累字了得?
针对这种“汉阳造”步枪对抗“马克沁”机枪的攻守不对称现状,奇安信安全专家提出的方案是:以SOAR安全编排自动化与响应系统为基础,进行装备升级,实现安全能力集成化、平台化、自动化处置,构建真正的智慧型“安全能力中台”。
该方案的核心,是将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起,有序处理多源数据,持续进行安全告警分诊与调查、案例处置、协同作战、事件响应,并最终实现高效安全运营。
在攻防场景下的具体应对层面,奇安信SOAR专家有如下建议:
首先是威胁评分建模,以及基于多源情报、沙箱、EDR、HIDS、CMDB、漏扫等信息的综合研判。
一方面,对于各类网络攻击告警,除了使用传统的过滤归并功能进行降噪外,还利用SOAR威胁评分模型进行辅助决策,从IP归属、历史处置情况、TIP情报比对、告警等级、告警触发频度等多维度进行威胁建模,依据评分结果自动采取适配的响应策略。
另一方面,结合沙箱、EDR、HIDS、CMDB、漏扫系统等进行立体化信息聚合,如恶意样本沙箱评估、疑似病毒检测、可疑进程扫描、CVE等特征漏洞扫描、资产信息富化等,通过综合信息研判,对告警进行多维复核,降低误报风险。
其次是阶梯化封禁(避免业务受阻),以及终端/主机隔离,病毒查杀、进程查杀等,实现攻击阻断。
对于网络边界类攻击,如外网探测、反弹shell、远控木马等可以按不同威胁特征对攻击源采取阶梯化封禁策略,并支持定时解封,降低攻击对正常业务的影响,这类联动角色可由防火墙、WAF、负载均衡、IPS等设备承担。SOAR系统支持自动匹配地址库,驱动不同区域边界设备实施阻断动作;对于终端/主机失陷类告警,可采取设备隔离下线、进程查杀、全盘扫描等措施,待威胁消除后再允许终端/主机上线等。
第三是人机协同,实现可编排和自动化响应。
好的武器,配合专业的使用者,才能最大化发挥效力。奇安信SOAR系统具备完善的剧本管理功能,内置符合BPMN2.0规范的工作流引擎,支持剧本库管理、可视化剧本编辑器和剧本运行监控。工作流引擎会根据剧本的预设逻辑执行每个活动。如果是人机交互的活动则调用人机接口,如果是应用活动则调用自动化应用执行引擎,自动激活相关应用动作的执行过程。
最后是通过攻防演习仪表板、攻防演习日报/周报等全面呈现结果。
奇安信SOAR可以根据每日接收/采集告警情况、响应情况、攻击情况、受害情况、剧本执行情况、应用动作执行情况等数据,自动汇总统计出攻防演习期间每日/每周的数据,给用户以清晰的蓝方防御报表,为整体防御效果评估和下步工作改进方向提供决策依据。
以某企业的防守队为例,部署了奇安信SOAR之后,可以实现7×24小时全天候自动值班,IP封禁速度提高了120倍,总计处置的外网IP超过13000个,依托精准识别和高效处置,真正实现L3级的“无人驾驶”。
奇安信SOAR作为一款国内技术先进、功能完备、面向实战化安全运营的安全编排自动化与响应系统,能够帮助企业和组织将繁杂的安全运营(尤其是安全响应)过程梳理为任务和剧本,将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将团队、工具和流程高度协同起来。
奇安信SOAR首先具备灵活高效的剧本编排,并具有丰富的剧本场景库。它还具备强大的设备对接能力,目前已内置140+种设备的对接和联动,并可灵活扩展。针对重保场景的协同作战,他可以通过系统内置重保模块,支持IP批量封禁和白名单功能。此外,SOAR还实现了运行状态的密切监测,保障自身安全。
事件驱动下的自动响应,是SOAR在网络安全运营最典型的场景之一。该场景核心是通过告警识别—>策略选择—>协同处置,依托SOAR的自动化优势,使其效率大幅度提升。以重保时的一键封禁IP为例,如果是少量IP,原有人工处置方式需要20分钟起,使用SOAR的处置方式,封禁加上人工确认时间,大约3分钟,SOAR的效率提升超过7倍。如果需要封禁大量IP,可以通过SOAR实现自动持续进行封禁,人工批量确认,SOAR的效率提升可达1000倍以上。
结束语
一年一度的网络安全实战攻防演习,也是一场攻击队和防守队的“武器对抗秀”。当前,攻击队普遍采用自动化的攻击工具,攻击强度、烈度都有大幅度提升,防守队迫切需要配备以SOAR为代表的应对武器。
作为连续两年被Gartner列入具有代表性的SOAR供应商之一,奇安信SOAR在重大活动网络安全保障和攻防演习期间,可帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验,全方位提升实战化、体系化、常态化安全运营水平,并帮助客户解决安全运营响应人员不足、安全事件响应不及时、运营维护工作重复、安全设备之间缺乏协同且联动性差等问题。
本文图片素材来源于网络
95015服务热线
微信公众号