为期半个月的攻防实战演习刚刚落幕,作为奋战在一线的 SOAR 厂商,雾帜智能在多个客户现场帮助安全人员实现了自动化、智能化的安全事件运营与应急处置。 为了帮助防守方客户全面应对来自专业队伍的渗透测试攻击,在实战过程中开展自动化应急处置,加速人机协同防护能力,雾帜智能 SOAR 产品专家与客户、合作伙伴按照预定策略开展了贴近实战的 SOAR 应用落地。 本次护网实战演练,帮助多个行业(金融、能源、运营商、烟草、互联网等)的重点客户设计编排了数十个安全响应剧本,对接了大量新增安全产品能力,协同处置异常攻击 IP 地址数万个,平均客户应急处置效率提升 50 倍以上,得到了客户现场的一致好评!
一、全面调研客户运营现状🔍 该阶段,雾帜智能安全专家与客户、合作伙伴一起,对客户网络现状、安全运营现状、团队组织架构、任务分工、沟通协作机制等进行深入沟通。根据现场调研和反馈,雾帜智能 SOAR 专家梳理出客户网内: 主要的人员组织划分与沟通协作方式,如:监控组、分析组、溯源组、处置组等,通过钉钉、蓝信或企业微信进行沟通; 典型的应急处置需求和场景,如:快速封禁 IP 地址、自动化钓鱼邮件分析、安全设备定时巡检、攻击事件调查分析等; 主要事件类型的响应和处置流程,如:监控组发现问题,提交分析组和处置,处置组完成封禁后反馈给监控组,必要时溯源组参与,等等; 重要的决策路径、决策依据和时效要求,如:必须结合态势感知、威胁情报和专家经验才能对 A 类事件做决策,攻击遏制措施必须在 60 秒内完成等; 领导层和指挥作战层的关注点,如:综合事件处置态势,整体事件处置进展,安全事件平均响应时间 MTTR 等;
二、量身定制攻防场景剧本✂️ 该阶段,雾帜专家的主要任务是针对客户关心和护网期间重点应用的场景,帮助客户设计攻防演练过程中使用的 SOAR 安全剧本。 雾帜智能 SOAR 产品 HoneyGuide 默认提供 40+ 通用安全事件场景剧本模板,客户按需选择并进行适当修改即可使用。针对攻防实战演练,客户还需要基于自身网络环境和处置需求,定制特定的安全剧本,例如: 快速处置 SIEM/SOC 告警平台发现的攻击者 IP 地址 快速处置蜜罐系统高危告警中的攻击者地址 帮助客户快速完成内网 IP、用户、邮箱等信息的上下文丰富 设计定时巡检剧本,开展周期性的安全设备可用性巡检工作,降低人工工作量和压力 针对 WebShell、端口反弹、内网扫描等事件开展快速的事件调查和分析 自动化完成钓鱼邮件分析和处置 针对攻防演练期间不定期出发的安全漏洞、0Day 开展快速响应(漏洞检测、资产统计、特征库升级、告警通知等)……
雾帜智能 SOAR 产品 HoneyGuide 安全剧本模板:调查分析与攻击溯源 雾帜智能 SOAR 产品 HoneyGuide 安全剧本模板:信息增强——快速找人找资产
三、快速开发安全调度能力🚥 针对上述定义的安全场景剧本,SOAR 工程师需要协助完成安全能力的对接。雾帜智能 SOAR 产品 HoneyGuide 默认支持 170+ 安全、网络、IT 和 SaaS 系统的能力对接。已支持清单内的产品直接配置好参数即可使用;针对尚不支持的产品雾帜、合作伙伴或者客户工程师可以基于 HoneyGuide 开放的 SDK(支持 Java、Python 两种编程语言)快速开发能力能力 APP,通常为 0.5~3 天。 图片
图片
雾帜智能 SOAR 产品 HoneyGuide 安全能力清单
四、反复演练 SOAR 剧本📖 任何完美的策略、剧本在经受实战考验之前,都必须经过反复的实操演练。雾帜智能专家帮助客户完成现状调研、剧本定制、能力对接后,接下来还要开展的工作是:与客户一起反复演练安全剧本的使用,熟悉产品操作过程,掌握产品技巧,为最终实战演练打好基础。 雾帜智能 SOAR 产品 HoneyGuide 提供在线协同作战室,允许安全人员之间进行文字、图片和文件的交互,同时支持在线调度各类安全产品能力和安全响应剧本。 实战攻防演练之前,客户、合作伙伴和雾帜智能工程师通过 HoneyGuide 人机协同作战室公共在线进行安全剧本沙盘演练,可快速适应工作节奏,掌握攻防技能。HoneyGuide 独创的 SOAR 剧本安全模式,可完美支持客户在现网放心地开展剧本演练。 图片
雾帜智能 SOAR 产品 HoneyGuide 在线协同作战室
五、实战过程中动态调整🪢 最后, 当实战来临,所有人员在高压状态下开展应急处置工具,一定会有一些突发情况或者新的需求冒出来。雾帜智能为客户配备了现场专家和工程师团队,帮助客户快速开展策略调整,产品适配等工作,帮助客户用上、用好 SOAR 产品,例如: 客户原先只接入了态势感知事件,在感受到 SOAR 的效率后,临时提出要把蜜罐的事件也纳入 SOAR 处置范围; 刚开始抱着试试看心态使用 HoneyGuide,后来发现人工太慢,还是 SOAR 更香,临时要去增加对 A、B、C、D 安全产品能力的对接; 希望在安全响应和运营之后,希望获取必要的统计数据和展示报表; …… 图片
雾帜智能 SOAR 产品 HoneyGuide 客户自定义大屏
六、总结📜 本次实战攻防演练过程中,雾帜智能 SOAR 产品 HoneyGuide 在客户现场表现卓越,帮助多个客户完成了快速的应急处置和事件运营工作,客户综合反馈如下: 应急响应速度大幅提升,原来数十分钟,现在只要几分钟; 夜班值守人员大幅减少,某客户从原来的 19 人锐减到 3 人; 编排自动化覆盖了主要工作场景,安全人员从 “脏活累活” 中解放; 有了数字化衡量应急处置能力的方法和平台; 安全经验得以数字化沉淀,即使服务厂商在活动后立场,安全经验和能力可以快速传承; “这回有底气了!” 是很多客户共同的心声; 2021 年安全圈全体人员紧张的攻防实战演练过程终于过去,但安全人员使命和工作还将继续。雾帜智能团队也将继续秉承 “AI 人机协同 + 安全编排自动化,加速安全响应” 这一理念,为客户打造最贴近实战,最接地气的安全产品!
合作机会
如果您想了解雾帜智能产品如何精准落地企业安全场景,加速应急响应,获取项目支持,欢迎扫扰,CTO 亲自接单: 图片