“盼望着,盼望着,四月的脚步近了,一年一度的安全人的大日子又要来临……”
——终于,今天 8 点,实战打响。
早上,在客户现场值守的 T 君收到反馈,有员工举报了一封邮件,疑似钓鱼。紧接着,邮件网关上也发现了类似的其它形式的钓鱼邮件告警。
T 君直呼:“好家伙!看来这回攻击方是 0day 未到,钓鱼先行了啊!”
现场实况
作为二线备用的 T 君,原本有点闷闷不乐,毕竟自己也是安全老兵了,这次在客户现场居然是备胎。他发现客户作战室里开始人头攒动,人员沟通交流开始密集,讨论和争执的声音也都逐渐提升,隐约有点小紧张。
工程师们按照预先设定的应急预案,给出了大概思路:分析钓鱼邮件-->识别收件人-->通知收件人-->网关拦截钓鱼邮件-->DNS 拦截域名-->防火墙拦截 IP-->通知终端杀毒……三五个人,单这封钓鱼邮件处理完成,怎么着也得个把小时吧,重头活还在后面呢。
小会结束后,大家就分头开干了,但总觉得刚一上班就摊上这活——不爽!空气中有些哀怨啊~
替补登场
在角落里的 T 君突然冒出来一句,“要不用一下这次备用的 SOAR 产品?有现成的剧本可以加速钓鱼邮件处置,几分钟就能搞定呢!因为这次部署时间比较赶,产品不在早先拟定的方案中,但是值得一试。”
“SOAR 有这么靠谱吗?是什么原理,能让我们干活速度更快?”
“SOAR(安全编排、自动化和响应)通过安全剧本的方式把原本需要多人、多设备、多界面操作的过程编排好,通过机器开展自动化操作,全面加速应急响应。咱们这次护网前,雾帜智能 HoneyGuide 已经部署,并对接了客户内部主要 IT、安全和网络产品的能力,还配置了 10 个通用安全场景剧本,可以随时启用。要不咱试试?”
“行吧,分两步走。人工的继续,雾帜的 SOAR 也同步用用。”
钓鱼邮件处置剧本详解
这边,大家分头开干了。工程师们开始在群组里沟通起来:
“谁给我发下 email 原件”
“分析组先看下 email 文件,把收件人、发件人搞出来”
“你,先发邮件通知这些员工,让他们千万别点点击和回复钓鱼邮件,该电话的电话……”
“email 附件搞出来没?我去沙箱跑跑看”
“我去!邮件里的超链接打开后是个伪装的 OA,跟咱们系统很像啊,赶紧封了”
“防火墙工程师在吗?把这个域名和 IP 封掉”
“域名服务器是谁负责,赶紧通知拦截下,那个谁,把恶意网址发我……”
……
4~5 分钟后,小小的会议室里还是吵哄哄,一旁的 T 君,又喊了一嗓子:“领导,我这边通过剧本已经把钓鱼邮件攻击处理得差不多了,还有 10% 的工作量,需要人工再跟一下。”
“啥?你说啥,我们这才刚开始,你已经处理完了?”
“对的,我们有预先设置的钓鱼邮件处置剧本,把 eml 文件丢进去,所有工作交给机器就好了。目前看,处理的还算顺利。该通知的都通知了,该封禁的也封禁了,对了,中间查了威胁情报、沙箱等系统,数据都在这里,大家可以直接看……”
“等等,你的意思是?”
“领导,先喝口茶,活都交给机器了……”
“来,你给我讲讲……”
雾帜智能 HoneyGuide-SOAR 剧本编排
首先,安全团队针对钓鱼邮件这种攻击场景专门做了应急处置的安全剧本,我们也可以称之为安全响应的套路;其次,这个剧本中涉及到多个系统、设备的能力调用,雾帜智能 HoneyGuide 已经提前完成和各个系统的安全能力对接。通过 API、SSH、HTTP 等等方式实现的,目前已经支持 170+ 国内外主流安全产品能力的调度;最后,当我们准备针对某个钓鱼邮件进行响应时,工程师只需要通过 HoneyGuide 产品界面,把钓鱼邮件原始 eml 文件作为参数传给剧本,就可以开展自动化应急响应了。响应的过程和刚才大家人工干活的方式一致,只是机器速度更快,而且不依赖人员的经验、情绪和在岗状态,高水平完成应急响应。必要的时候,安全人员也可以参与,实现人机协同。
“总的来说,通过 SOAR,安全团队应急响应可以从原来天级小时级,变成小时级分钟级,某些场景甚至能达到分钟级秒级的响应。速度、效率和质量大幅提升啊!”
针对钓鱼邮件应急响应的安全处置剧本:
SOAR 处置钓鱼邮件攻击事件的执行效果:
Email 邮件解析的情况:
封禁动作返回结果:
整体执行情况如下(HoneyGuide 支持剧本每个节点的状态跟踪):
T 君继续给领导详细介绍雾帜智能 HoneyGuide-SOAR 产品,突然会议室门口有人吆喝了一声:“嘿!这不是 T 君吗,谁给你安排到我们这儿了?哎——我跟你们说啊,这个 T 君,以前大家都叫他屠龙,主要是……”
原来是客户这边的专家 G 工,只是话没说完,作战室里再次传来了紧张的声音:“哎呀,不好。领导,咱们这个……”
故事未完,明天待续……
图片来自网络:https://unsplash.com/
转载声明
本文转载自公众号:雾帜智能,转载链接:https://mp.weixin.qq.com/s/lA8Jn1sG562JGDRwVBldCQ