前言
2018 年开始我就在持续关注 SOAR 产品。当时国外的 Phantom、Demisto 等产品已经日趋成熟,我曾在多个安全会上见过他们的宣传,也曾经申请试用过他们产品,但是上手后总感觉还缺了那么点意思。
去年国内多家厂商都已宣布进军 SOAR 领域,这倒符合国外产品 “进入” 国内的速度:)但是直到今年年初我还是一直在听厂商们宣传,却从未见到这些产品的真容,难道又是 PPT 玩法?四月份的时候,有朋友给我转过一个链接:上海雾帜智能科技有限公司的 SOAR 产品 HoneyGuide 提供了在线体验版本,可以申请试用。我当即报名申请体验。
按照官方的要求,关注公众号,提交测试申请需要的联系信息后,很快客服(准确地说是他们 CTO……)就联系到了我。我被安排在第五批试用清单里,据说要排到五一之后……也是醉了。
好吧,好饭不怕晚,趁这个时间我刚好把之前整理的 SOAR 相关的资料重新复习了一遍,到时候看看雾帜智能的 HoneyGuide 到底是不是吹牛。
一些背景信息
Security Orchestration, Automation and Response(SOAR)安全编排和自动化响应,Gartner 2017 年提出的新概念。
“根据 Gartner2019 年最新定义,SOAR 是指能使企业组织从 SIEM 等监控系统中收集报警信息,或通过与其它技术的集成和自动化协调,提供包括安全事件响应和威胁情报等功能。SOAR 技术市场最终目标是将安全编排和自动化 (SOA)、安全事件响应 (SIR) 和威胁情报平台 (TIP) 功能融合到单个解决方案中。这种融合到 2019 年仍然持续进行中。例如,在 Splunk 收购 Phantom 之后,SOAR 可能会嵌入到它的 SIEM 中,并用于 IT 操作场景。SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。例如基础设施监视、应用程序性能监视和故障排除。” —— Freebuf《青藤云安全新技术洞见:安全编排、自动化及响应(SOAR)解决方案》。
目前国内外主流 SOAR 产品:
- 擅长剧本编排的 Phantom 被 Splunk 收购
- 擅长前端交互的 Demisto 被 PaloAlto 收购
- IBM、Rapid7 等公司都有自己 SOAR 类产品
- 盛华安——国内首家宣称提供 SOAR 的公司
- 雾帜智能——主攻 SOAR+AI 的新锐安全公司
- 绿盟、安恒等老牌公司公众号都声称有 SOAR 产品
今天咱们测试体验的就是上海雾帜智能科技有限公司提供的 SOAR 产品 HoneyGuide 在线体验版。
SOAR 产品 HoneyGuide 试用体验
可视化安全剧本编排
安全编排是 SOAR 产品的灵魂,拿到试用账号后我直接就去体验了剧本编排功能。但是这个在线体验版居然是阉割的——只能查看已有的剧本,不能自己动手编排,有点遗憾。最后还是联系傅老板走后门给开通了。
先不说剧本跑起来怎么样,单看剧本编排的界面和菜单我就震惊了:这绝对是战斗机级别的产品!雾帜智能的 SOAR 产品 HoneyGuide 提供了可视化剧本编排能力,允许安全人员根据自身逻辑进行安全剧本编排。编排过程中支持插入:
- 可在安全设备上执行的动作
- 条件判断规则(据说后台是个超强的规则引擎)
- 审批节点(自动化流程也有人工介入的场景)
- 虚拟节点(据说把人当做一个应用系统,很有意思的创意)
- 异步节点(有时候一个动作完成后, 总要等待点什么)
- 可被嵌套的子剧本(嵌套微剧本,这可以)
我们这里以一个 “基于阿里云环境的暴力破解处置” 剧本为例,通过剧本菜单【新建】按钮进入剧本创建和编辑界面即可启动剧本编排。
在流程中插入安全动作时,可以从左侧功能菜单选择目前已经支持的 80 多个国内外主流安全产品、IT 产品或者 SaaS 服务。
选择具体应用(APP)后,可以点选该应用已经支持的所有安全动作,例如某 WAF 产品可支持的动作(Action):
确认动作后,可以选择该动作的输入参数。按照官方介绍,所有事件原始字段、环境变量和上游节点的输出参数都可以作为下游节点的输入参数。
完成节点命名和参数填充后,点击【保存】插入动作节点,效果如下:
当然,根据需要安全人员还可以继续增加更多的节点和判断逻辑——取决于安全剧本的逻辑。
按照雾帜官方介绍,安全剧本支持由外部事件触发后自动执行,也支持工程师手工执行。下图就是我手工执行该剧本的情况。此处假定暴力破解的源 IP 是:185.17.123.206。
各动作节点执行结果如下显示:
目前该事件处置剧本进入到人工审核环节,安全人员审批通过后,会自动调用阿里云安全组进行 IP 隔离。
以上动作,正常情况工程师在岗的情况下,2~-3 个人熟练配合,也需要 5~10 分钟才能顺利完成。而通过 HoneyGuide 产品的安全剧本编排,可以在 1~2 分钟内完成,排除人工参与环节,几乎是数十秒完成的动作,速度惊人!SOAR 的优势果然不同凡响!
多人在线的作战室 安全事件发生后,企业安全团队通常会通过钉钉、微信进行沟通,我所在的企业使用的是企业微信。当然也有电话、邮件等一系列处置手段。但人员组织毕竟分散,很多时候有些信息需要及时地与团队分享。在现实中我们通常会找个会议室,召集各部门到会议室沟通。HoneyGuide 产品提供了一个虚拟作战室,允许邀请不同部门不同角色的人员参与事件处置。这倒很类似 Demisto 的 warroom,但又不完全一样,感觉上更符合国内用户的习惯。人员支持被分派了不同的角色,中间可以随时邀请其它人员,协同作战过程一目了然。
考虑到事件处置过程安全动作可能被聊天记录刷屏,雾帜智能团队贴心地设计了 “专注模式”,让安全人员可以越过聊天过程更加聚焦事件处置过程。这个设计不得不佩服,灵感来自钉钉的专注模式?
往往事件处置完成后,事件记录就变成了一堆无用的聊天记录。在 HoneyGuide 产品中,可以将事件一键导出为安全事件处置报告,并归档到知识库实现知识沉淀和传承。
本次事件中总共调用多少剧本、动作,耗时多少,都能在事件处置报告中体现。根据需要,还可以补充总结内容。
自然语言交互的人机协同
应该说这是一个震惊了我的功能!曾几何时,我们的安全事件处置过程中,人员之间相互沟通后,有些安全动作最终要落地到安全设备进行响应处置。然而因为人的参与,从安全人员发出意图到真正安全指定得到执行,中间需要经过大量的等待时间。
HoneyGuide 产品提供了支持自然语言交互的人机交互机器人,安全工程师只需要用自然语言描述自己的需求,机器人就可以准确推荐安全动作,并帮助执行。因为演示环境可调度的设备有限,我做了几个简单的测试。机器人 “雾空” 果然了得!
举个例子,我想知道某个 md5 值对应的原始字符串,居然可以直接 @ 机器人口算 md5!
看到没,这种操作就像是工作过程中和真实的同事沟通一样便捷!这哪里是机器人,这是智能队友啊!这里借用一张官方之前的宣传图:
当然,按照官方说法,所有可调度的能力除了可以自然语言实现调度外,还支持功能菜单和命令提示符方式使用。
支持工单流转的事件管理
安全事件从其生命周期看,通常由不同的阶段组成,而在不同的阶段往往需要不同的人员、剧本、动作进行响应。HoneyGuide 产品显然关注到这一需求,并将其实在 “阶段” 管理中。
安全工程师可通过预定义事件处置模板或模型,对安全事件不同阶段安排不同的人员或剧本进行响应。工程师之间也可以进行工单流转。相关处置记录以备注形式录入在事件处置记录中。
动作级控制的安全保障
作为一款可以和各类安全产品进行了联动的设备,其自身安全性要求也很高。通过测试体验 HoneyGuide 产品,我们能够看到雾帜团队在安全方面的努力,主要包括如下:
- 支持本地用户和 LDAP 用户登录鉴权
- 用户密码必须符合复杂度
- 提供防暴力破解的自锁定机制
- 支持 HTTPS 通讯,且证书可以自定义(国内很多安全产品虽然提供 HTTPS,但是客户没法自定义证书)
- 支持用户角色管理和基于角色权限控制,多达 70 多个权限子项颗粒度
- 支持操作行为审计,几乎前端所有的操作过程都会被审计
- 自持系统配置备份导出和导入,避免数据丢失
- 与安全设备对接的应用程序支持读写动作分离。还有一个 “安全模式”,但是测试期间没用上
- 支持金融级场景,动作级别的权限控制。(大概是执行每个动作前都要人工确认一次,满足特定客户的严格安全管控要求)
以 Fortigate 防火墙为例,目前 HoneyGuide 支持在该防火墙上执行 5 类动作,但为了满足企业安全管理需求,系统对这些动作的调用其实是做了严格管控的。
系统除了对动作做了读写分离外,还设置了安全模式。同时,根据某些特定场景客户的需求,还可以细粒度定制每个动作谁能执行!
好吧,关于 SOAR 产品的安全性,HoneyGuide 考虑的比我想的多……
一点遗憾
因为时间仓促,主要是我假期还有别的安排……没有做详尽测试的。不过从上手过的几个功能看,雾帜产品已经非常有优秀。当然测试过程中也遇到了一些小问题,有点遗憾。
首先,在线 Demo 版本不支持全功能,有些功能我没有体验到。其次,测试环境可调度的安全设备或能力有限,没有体验到与更更多外部产品的交互操作。据说,HoneyGuide 支持 80+ 国内外主流安全产品,但是没有看到内容更加丰富的复杂剧本。CTO 傅老板告诉我,没有哪个客户会刚好使用了 HoneyGuide 支持的全部 80+ 产品,所以根据自己的需求设计最适合的场景剧本最重要。雾帜产品默认提供了针对 30 多个通用的安全场景的剧本,但也需要结合用户实际环境做调整。
试用总结
纵观国内安全市场,目前能够拿出产品交付并具备客户案例的 SOAR 产品凤毛菱角。从我接触的产品和今天的测试看:雾帜智能 HoneyGuide 代表着国内 SOAR 领域产品的最高水准,是行业技术发展的风向标。雾帜智能也是拥有大量创新成果的国产安全公司。测试过程中,不仅体验到该企业产品的技术创新,也感受到创始团队成员对极致技术的追求和成员之间默契的配合,算得上是理想中的未来安全企业。
国内大多数 SOAR 是组件化功能,也是大厂们为了维护自身市场做的增值开发。而雾帜智能公司则是以 SOAR 为平台,以产品化交付为目的,专注打造精准场景下的小而美的产品,独树一帜!
因为本人水平有限,以及测试环境的问题,有些 SOAR 产品相关的细节测试还不够到位,这不符合我以往的风格。傅老板说了,等节后可以给我再安排一次,充分体验。而且,后续雾帜也会把自家公司网络环境的生产数据发送到 Demo 环境进行演示,这样能够更加直观和真实地体验 SOAR 产品的价值,很是期待!