12 月 21 日,ISC 2022 数字安全创新能力百强颁奖典礼在北京成功举办,作为数字安全界 “奥斯卡”,此次活动不仅评选出众多优秀产品和技术,颁奖典礼现场也正式发布了《ISC 数字安全创新案例报告》,雾帜智能的《帆一尚行应急预案数字化项目》入选 ISC 数字安全创新案例报告制造行业优秀案例。 一、解决方案
帆一尚行作为上汽全资投资的云计算中心,以及汽车行业第一个云计算中心,于 2015 年启动云平台建设,已经成为支持上汽集团新四化(电动化、网联化、智能化、共享化)战略转型、引领中国汽车行业创新的趋势科技基础平台。
在整个应急预案数字化项目中,帆一尚行联合雾帜智能公司将 HoneyGuide 智能风险决策系统(SOAR+AI+ 协同作战室)整合到安全运营中心。
整个解决方案包含两大核心部分,一是在 K8S 集群中构建 1+N 式的安全运营中心,其中 “N” 为租户的可伸缩 SOAR 实例,“1” 为平台运营团队专用的 SOAR 实例;二是基于该平台打造数字化应急响应预案体系。
1)1+N 式的安全运营中心 1+N 式的安全运营中心技术架构示意图,如下图: 租户 SOAR 实例既可以调用帆一尚行的安全能力,也可以通过分布式部署的调度引擎联动私有网络已有的安全能力。客户借助 HoneyGuide 的分布式部署的调度引擎和出色的集成整合能力,得以实现快速整合租户网络的安全能力。
平台运营团队通过专用的 SOAR 实例和工单系统等组件实现与租户安全运营团队的协同联动。在该方案中,安全运营中心运营团队借助工单系统、应用市场和剧本市场向租户分发标准化的应急预案。
2)数字化应急响应预案体系
该方案结合帆一尚行实际租户构成,借助 SOAR 强大的编排能力,构建了平台级、租户通用和租户专用三级分类的数字化应急响应预案体系,整合云中心的数字化流程和企业的已有安全流程,实现常态化安全运营。 平台级应急预案:主要是平台安全运营团队针对平台层面的安全事件所设计的各类应急响应剧本。这类剧本通常只运行于平台安全运营团队专用的 SOAR 实例。
租户通用应急预案:主要实现租户 VPC 范围内的安全事件的应急响应。该类预案剧本设计为通过调用平台向租户提供的安全能力(如威胁情报、主机安全、扫描、日志、WAF、防火墙等)实现对常见安全事件(如暴力破解、病毒木马、异常访问等)的自动化响应。该类预案剧本一部分通过模板配置内置于租户的 SOAR 实例,租户通过少量配置即可发布使用;另一部分发布于剧本市场供租户自行安装使用。
租户专用应急预案:这类预案剧本设计为可同时调用平台向租户提供的安全能力和租户私有网络的安全能力。这类预案一方面通过剧本为租户的安全运营团队赋能,实现其对私有网络的安全事件进行及时有效的响应;另一方允许租户复用其部分已经建设的安全能力节省开支。该方案通过剧本市场分发剧本模板或提供剧本定制服务实现分发该类预案。
二、应用效果: 数字化应急预案体系已初见规模。目前提供给租户的租户通用剧本已达 20 多种,覆盖漏洞情报与预警、云上挖矿事件处置和异常 DNS 请求处置等云上安全运营的常见场景。剧本市场内提供给租户使用的租户专用剧本也达到 50 多类。加上平台级应急预案和自动化实施剧本,总剧本数量达 100 多种。 在项目启动之初,平台安全运营团队已经开始将部分重复、繁琐日常事务应用 SOAR 进行自动化或半自动简化。如过去违规/涉密内容和恶意软件这类安全事件,不仅需要多个工单联合实现全流程的处置,整体耗时通常也超过 4 个小时;而通过 SOAR 结合平台的数字化预案剧本,仅仅需要 1 个工单,最快在 5 分钟内完成全流程处置,大大提升了处置效率。
已经开始试用数字化预案的租户对平台提供的如钓鱼邮件分析处置预案、服务器异常 DNS 请求处置预案等使用效果评价极高,表示未来将会把更多重复耗人力的工作转移到平台。