SOAR技术文章【转载】0day 未到，钓鱼先行？——SOAR 护网实战连载 0408

milktea · 2021年04月14日 · 1367 次阅读

“盼望着，盼望着，四月的脚步近了，一年一度的安全人的大日子又要来临……”

——终于，今天 8 点，实战打响。

早上，在客户现场值守的 T 君收到反馈，有员工举报了一封邮件，疑似钓鱼。紧接着，邮件网关上也发现了类似的其它形式的钓鱼邮件告警。

T 君直呼：“好家伙！看来这回攻击方是 0day 未到，钓鱼先行了啊！”

现场实况

作为二线备用的 T 君，原本有点闷闷不乐，毕竟自己也是安全老兵了，这次在客户现场居然是备胎。他发现客户作战室里开始人头攒动，人员沟通交流开始密集，讨论和争执的声音也都逐渐提升，隐约有点小紧张。

工程师们按照预先设定的应急预案，给出了大概思路：分析钓鱼邮件-->识别收件人-->通知收件人-->网关拦截钓鱼邮件-->DNS 拦截域名-->防火墙拦截 IP-->通知终端杀毒……三五个人，单这封钓鱼邮件处理完成，怎么着也得个把小时吧，重头活还在后面呢。

小会结束后，大家就分头开干了，但总觉得刚一上班就摊上这活——不爽！空气中有些哀怨啊~

替补登场

在角落里的 T 君突然冒出来一句，“要不用一下这次备用的 SOAR 产品？有现成的剧本可以加速钓鱼邮件处置，几分钟就能搞定呢！因为这次部署时间比较赶，产品不在早先拟定的方案中，但是值得一试。”

“SOAR 有这么靠谱吗？是什么原理，能让我们干活速度更快？”

“SOAR（安全编排、自动化和响应）通过安全剧本的方式把原本需要多人、多设备、多界面操作的过程编排好，通过机器开展自动化操作，全面加速应急响应。咱们这次护网前，雾帜智能 HoneyGuide 已经部署，并对接了客户内部主要 IT、安全和网络产品的能力，还配置了 10 个通用安全场景剧本，可以随时启用。要不咱试试？”

“行吧，分两步走。人工的继续，雾帜的 SOAR 也同步用用。”

钓鱼邮件处置剧本详解

这边，大家分头开干了。工程师们开始在群组里沟通起来：

“谁给我发下 email 原件”

“分析组先看下 email 文件，把收件人、发件人搞出来”

“你，先发邮件通知这些员工，让他们千万别点点击和回复钓鱼邮件，该电话的电话……”

“email 附件搞出来没？我去沙箱跑跑看”

“我去！邮件里的超链接打开后是个伪装的 OA，跟咱们系统很像啊，赶紧封了”

“防火墙工程师在吗？把这个域名和 IP 封掉”

“域名服务器是谁负责，赶紧通知拦截下，那个谁，把恶意网址发我……”

……

4~5 分钟后，小小的会议室里还是吵哄哄，一旁的 T 君，又喊了一嗓子：“领导，我这边通过剧本已经把钓鱼邮件攻击处理得差不多了，还有 10% 的工作量，需要人工再跟一下。”

“啥？你说啥，我们这才刚开始，你已经处理完了？”

“对的，我们有预先设置的钓鱼邮件处置剧本，把 eml 文件丢进去，所有工作交给机器就好了。目前看，处理的还算顺利。该通知的都通知了，该封禁的也封禁了，对了，中间查了威胁情报、沙箱等系统，数据都在这里，大家可以直接看……”

“等等，你的意思是？”

“领导，先喝口茶，活都交给机器了……”

“来，你给我讲讲……”

雾帜智能 HoneyGuide-SOAR 剧本编排

首先，安全团队针对钓鱼邮件这种攻击场景专门做了应急处置的安全剧本，我们也可以称之为安全响应的套路；其次，这个剧本中涉及到多个系统、设备的能力调用，雾帜智能 HoneyGuide 已经提前完成和各个系统的安全能力对接。通过 API、SSH、HTTP 等等方式实现的，目前已经支持 170+ 国内外主流安全产品能力的调度；最后，当我们准备针对某个钓鱼邮件进行响应时，工程师只需要通过 HoneyGuide 产品界面，把钓鱼邮件原始 eml 文件作为参数传给剧本，就可以开展自动化应急响应了。响应的过程和刚才大家人工干活的方式一致，只是机器速度更快，而且不依赖人员的经验、情绪和在岗状态，高水平完成应急响应。必要的时候，安全人员也可以参与，实现人机协同。

“总的来说，通过 SOAR，安全团队应急响应可以从原来天级小时级，变成小时级分钟级，某些场景甚至能达到分钟级秒级的响应。速度、效率和质量大幅提升啊！”