某市电子政务网于 2018 年建设完毕并上线运行,主要为市政府、市委及各机关单位提供网络传输平台及相关服务。网络建成后,在安全方面暴露出网内攻击不明、病毒横行、安全事件无法溯源等问题。为了实现网络风险的实时监控,客户部署了态势感知平台,平台建成后,安全管理水平得到切实提升。然而面对每天上报的大量安全事件,安全运维人员还是要花费大量时间进行处置,很多安全事件重复发生,浪费了宝贵的时间、精力。
面对如此困境,新华三安全威胁发现与运营管理平台组建了 SOAR 引擎团队,针对客户的具体业务流程,在态势感知的基础上,有针对性地对传统的响应方式进行了优化开发。SOAR 引擎核心目标是辅助安全运营团队在态势感知平台上处置安全威胁,提高运营效率,通过安全编排将人员、流程和工具集合在一起,集成多系统、多平台、多技术一体化处置流程,从事件生命周期的每个环节包括事件生成、研判、人工处置、策略下发、自动处置和响应报告等来增强安全事件响应速度。
■ 案件配置 安全事件类型的差异、严重级别的差异、安全事件失陷等级的差异等等因素,都会对后续决定采取什么样的动作产生影响,通过提取关键元素,可以精准识别不同的场景,满足差异化处理的需要。 ■ 剧本执行 系统生成安全事件时,会触发案件匹配,如果命中案件,并且开启了剧本自动执行,会根据剧本定义的处理流程进行相关设备的联动。目前,我们支持的执行设备包括防火墙、IPS、交换机、路由器、终端安全软件、ACG、WAF 和认证接入系统等,实现流量阻断、网页重定向、主机杀毒、主机隔离、强制非法用户下线等操作。同时,可联动生成工单及告警通知到安全运营团队,针对安全事件进行手动操作,选择更合适的剧本进行执行。 SOAR 引擎具备通用剧本接口,可以兼容不同厂商的原始数据进行分析,结合策略控制代理,实现了对不同厂商的设备管控,实现人员、工具、流程的融合。 ■ 风险消除 通过剧本定义的处置动作,实现了对风险主机的阻断,而此时风险主机自身往往不会意识到自己已经被阻断,所以当剧本有阻断动作时,会同时向用户接入交换机/路由器下发重定向规则。当对风险主机进行了阻断时,该主机访问网页会被重定向到断网公告页面,被告知需要进行杀毒软件下载,消除安全风险。 ■ 一键恢复 当风险主机消除风险后,按照安全规范要求走流程上报给安全管理部门,安全管理部门通过 SOAR 引擎,可以一键撤销已经下发的阻断策略,恢复至原始状态。 ■ 定期报告 安全威胁发现与运营管理平台会记录处置流程,定期输出汇总的运维报告,帮助管理人员掌握风险变化情况。
展望未来: 态势感知的未来一定是大放光彩的,作为态势感知的一部分,响应编排在自动化响应方面,也绝对是大有可为。但是现在的响应编排还不能完全脱离安全运维人员而完全自主的进行,这也需要我们不断地努力,不断地研究,让响应编排更加智能化。为了不断适应时代的变化,我们的响应编排也一定会有新的突破。在机器学习和人工智能大放异彩的今天,我们的响应编排也会向着智能化的道路不断前行,让我们的事件响应从传统的手工处理到现在手动加自动,最终实现完全自动化。