本文转自安在媒体公众号:安在
2020年6月16日起,安在讲堂公益直播第三季,即网安强中强——2020 网络安全产品及创新技能直播大赛全新开启,以新技术、新产品、新解决方案的分享传播为侧重,意图呈现当下中国网络安全的新生力量,“乙方” 亮相,一展风采。2020年7月9日,安在特邀雾帜智能 CTO 傅奎做客直播间,以 “AI+SOAR 让你的应急响飞速提升” 为主题,和网络安全从业者分享,企业安全应急响应解决方案。
(注:本期文章所有内容皆可在千聊 “安在讲堂” 直播间回看,公益讲座,全部免费。)
本人多年以来一直在安全一线工作,有时候常常感慨:纵然你已经练就了十八般武艺,但是依旧无法完美地开展一次应急响应。今天, AI 人机协同 +SOAR 这一综合解决方案有望助力解决这类难题。
本次议题分享总共包括四个环节,分别如下:
► 徒手应急响的现状 ► 如何加速威胁应急响应 ► AI 人机协同 +SOAR ► 总结和交流
一、徒手应急响应现状
面对一场突发的火灾消防人员完成一次应急救援,使用 5 分钟还是 50 分钟时间,两者结果完全不一样,人民群众的生命和财产安全的损失程度也天差地别。
今天,人们已经能够通过天上的卫星、地上的摄像头、红外设备、烟雾传感器等等方式监测发现火灾,并且通过电话、网络等手段及时地通知告警。然而,决定性的一步还在最后——如何以最快的速度出警并且灭火,将损失降到最低。这是消防应急响应过程中的最后一公里;也是极具挑战性的工作。这与我们信息安全领域的应急响应工作几乎完全一样。
然而,来自全球的攻击者们已经大幅提升了攻击能力,他们通常会使用自动化、智能化的网络武器作战平台向企业发起攻击。反观企业,随着信息安全建设的进行,虽然已经部署了各相关的安全检测能力,防御能力也有大幅提高,但是在信息安全事件应急响应和问题处置过程中还是依赖高延迟、低效率的人工团队。在如此严峻的局势下,应急应急响应的防守方如何才能赢得与攻击者的赛跑呢?
相对于那些完美的应急响应流程,现实应急响应的过程通常是非常混乱的。安全防守方会面临人员不能及时到位、账号过期、密码遗忘、产品操作不熟练等各种突发性的问题,导致安全团队在应急事件响应的过程中很难对事件进行预期的响应处置,实现完美解决问题。因为,一次常规的事件响应至少涉及 10 个以上的系统或者程序,安全人员的 “人脑 CPU ” 不断进行上下文切换,安全事件响应的难度和压力可想而知。
安全事件运营的最后一公里——应急响应的速度和质量决定了一次重大安全事件能否成功应对并挽回损失。成功的应急响应通过稳定地执行各类预案和快速地处置安全事件,实现减少损失,避免灾难性的影响。我们一直在思考:有没有更好的方法或者产品能够帮助今天的企业加速安全威胁响应?
二、如何加速应急响应
IACD 集成自适应网络防护框架提出过如下的愿景:我们寻求革命化的网络安全,在网络防御中借助通用自动化和交互式操作的方式,最终超越网络攻击的速度和规模。”
TIPS:集成自适应网络防御(IACD)是一种策略和框架,可采用基于可扩展,自适应,商业现成(COTS)的方法来进行网络安全运营。IACD 通过利用自动化来提高人类防御者的效率,从而将网络防御的速度和规模提高到了人类防御者的水平,将其从响应循环之外转移到了网络防御 “响应循环” 中的响应计划和批准角色。这项工作是由美国国土安全部(DHS)和美国国家安全局(NSA)与约翰霍普金斯大学应用物理实验室(JHU / APL)合作发起的。
参考链接:https://www.iacdautomate.org/aboutiacd
AI 人机协同 +SOAR
雾帜智能是一家以人工智能为核心驱动的新生代科技公司,正式成立于 2019 年 4 月。公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化水平助力企业解放生产力。雾帜智能通过打造一款应急响应领域的协同作战平台 HoneyGuide,帮助企业的安全团队或者个人提升安全响应的速度和能力。
雾帜智能 HoneyGuide 重点通过以下两个思路实现应急响应的加速处置:
- AI 人机协同:用 “AI 机器人” 和 “虚拟作战室” 解决人人、人机协同问题;
- SOAR:用 “安全剧本(套路)” 将应急响应中的各个单点动作组装起来,实现过程自动化解决安全事件响应严重依赖人工操作的问题
- AI 人机协同
HoneyGuide 使用虚拟作战室的方式,首次将安全应急响应过程中的参与者从线下会议室搬到了线上作战室。通过集成 AI 人机协同机器人的方式,实现了 “安全工程师通过自然语言下发安全指令” 的需求,有效解决了绝大多数客户在应急响应过程中 “人机”、“人人” 协同的问题。
通过 HoneyGuide 人机协同作战机器人,安全人员能够直接以自然语言的方式调度应急响应资源,包括:安全产品、IT 系统、网络设备、SaaS 服务等等。安全意图直达设备,不用经过人员沟通,也不用记忆复杂的命令和参数!AI 协同作战机器人能够精准地理解工程师的语言,准确地提取文本中的参数,成功推荐并快速执行安全指令。
- SOAR 安全编排自动化与响应
SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应)是众多解决方案中的代表,它的思想是将各类安全应急响应过程中的动作进行组合,按照剧本化的方式自动开展应急响应工作。
借助编排好的安全应急响应剧本,当安全事件发生时,系统将通过自动化的手段进行响应,减少人工干预。这样,安全事件响应的速度和效率能够得到保证,安全应急响应的质量也能够得到保障,更能够在真正的攻防对抗实战中为防守方争取时间,加速威胁响应处置。
SOAR 通常有如下的优势:
► SOAR 可以成为连接中枢和调度指挥中心 ► SOAR 能够调度各种安全能力 ► 能够像剧本一样开展安全运营工作 ► 提高并衡量 SIEM/SOC 团队的生产力 ► 让 SOP 执行更加标准化 ► 机器没有情绪,总能稳定发挥
四、总结与交流
在 AI+SOAR 解决方案的落地过程中,我们也遇到过很多困难,比如:安全场景不足、产品的能力不够、剧本缺乏更新、国内产品 API 匮乏等问题。雾帜智能团队从多个角度开展攻坚,逐项改善了多个痛点,最终让 HoneyGuide 这款产品趋于成熟并适应国内市场的绝大多数需求场景。
以场景落地为例,我们做了如下工作:
► 一是精准落地安全场景,不断跟用户进行沟通,识别长期困扰可就,需要重复执行,耗时费力的场景并把这些场景进行梳理落地;
► 二是增强系统对接各种应用的能力,允许合作伙伴共同实现应用能力开发,加强社区运营,让大家一起开拓各种应用场景;
► 三是除了已有的编排能力外,还使用了智能编排技术,并对编排能力进行持续更新和迭代,不断提升编排技术的能力。
除此之外,SOAR 产品还需要解决应用能力对接的问题。企业内部一般都部署了很多安全产品,为了让 SOAR 产品能够快速和客户环境对接,我们已经开发了将近 100 个国内外主流的安全产品,近 200 个有效动作。更多的产品对接还在不断的开发中,随着我们的能力提升,对接对应能力的种类也会越来越多。当然,总有一些安全产品无法支持,所以我们提供了基于 Java 和 Python 两种编程语言的 SDK,允许用户开发适合自己的各种应用。
最后,我用一句话概括雾帜智能公司 AI+SOAR 的产品 Honey Guide:一个以自然语言交互和智能推荐为核心,通过 “协同作战机器人”、“安全剧本智能编排” 和 “风险决策引擎” 实现加速安全响应的协同作战平台。
问答环节
1.傅老师,您好, 目前 30 条安全剧本库,可以有效解决哪些入侵行为?内部信息泄露问题是否可以解决?
首先我们提供的 30 个场景(包括信息泄露、攻击调查、策略封禁、资产调查、消息通知等等类型)其实是一种通用的模板和思路,它更像是一种引导。我们更希望用户基于这些基础可以实现自身安全剧本编排能力的定制。我们提供了 30 个模板,如果用户需要可以直接克隆过来修改后实现自身剧本的迭代和优化。
举个例子,在安全日常运营的过程中经常遇到员工离职这样的场景。这时你要做很多工作,包括查看 DLP 系统有没有报警信息,有没有异常拷贝,员工的账号和权限是不是已经撤销等等,所有的工作确定处置完成之后,才能确定员工是否能够离职。原来这些工作人工可能需要一小时,但是使用我们的剧本只要五分钟就可以达到这个效果。而这个剧本是根据用户企业内部实际情况进行编制的。
AI 人机协同 +SOAR 落地的时候就要把人工处置中的关键环节用自动化的手段替代,从而加速响应,达到我们预期的目的。产品落地也不一定完全依赖于厂商提供的剧本,企业安全人员也要考虑,日常事件处置的响应过程中会遇到哪些问题,这些问题是不是可以自动化,是不是可以减少人工重复性工作等,思考的问题越多,我们创建的个性化剧本就会越多,对安全团队的提升就越多。
2.非常感谢傅老师的分享!想问下人机交互是有专用的 App 吗,还是可以跟现有的 IM 软件,如微信,钉钉融合?另外流程中某个节点需要人工介入的话,是必须前往 Web 界面接入操作吗?
首先,人机交互中用自然语言调动某一个安全能力,这是已经开发好的内容,它可以帮你把消息发出去,至于用什么系统发消息,取决于用户自己的实际情况,比如刚刚提问者说的微信、钉钉都可以,因为我们可以调用钉钉、企业微信的接口,还可以一键创建电话会议,并把电话会议的链接发给所有通知到的人,这些都可以支持。
关于人工介入目前有两种,一是编排的剧本里本身具有人工的需求,比如满足或不满足某个条件自动转到人工处置;二是在事件处置过程中,A 剧本执行完成了,用户可以在作战室里面再执行 B 剧本、C 剧本甚至不间断的执行其他工作,这些可以是安全人员主动发起。
3.可以申请 Demo 吗?
可以申请线上 Demo 体验,如有需要请联系小编登记。 有深度测试或使用需求的用户也可以通过安在渠道联系我们。
4.如何评价响应后的效果评价,判断问题有没有根除,重复发生怎么办?
首先,在雾帜智能的产品中,对每个事件都有是事件处置的报告,报告中展示了在安全事件中安全人员总共执行了多少个动作,调用了多少个剧本,多少个人员参与,分别执行了哪些动作,总耗时多少等,可以作为你评估的参数和指标。
至于问题有没有根除,这个问题也可以反过来问安全人员,在处置事件的时候怎么判断问题已经根治?你是不是有一个明确的判断?如果你把判断的过程做成自动化的剧本去实现,那么机器就可以帮助你进行判断。其实我们产品的目的不在于用它帮你把问题解决,而是帮你加速问题的解决。原来可能需要花一个小时判断是否根除,但是有了 SOAR 技术后可以在 1 分钟内完成事件信息的收集,5 分钟之内完成更新的识别,速度和效率大幅提升,这也是产品的价值所在。
5.请问:剧本自动化更新是怎么做到的?
目前我们剧本的智能编排有提醒功能,当你的剧本需要更新的时候,系统会提醒你进行更新,但是不会帮你把流程连接上去,而是把相关的动作推荐到剧本的底部,并把那个动作卡片放进去,然后由安全人员决定插入哪个动作的具体流程的节点上。目前机器智能还无法做到直接帮用户配置动作流程,只能提供剧本可能需要的关联动作,并推荐给你,然后由你来决定。
6.我们公司的态势感知有成千上万的 SQL 注入、XSS、后门程序告警,但真正有效的告警,不到 1%,针对这种情况,怎么通过 SOAR 来降低误报,提高有效处置率?
SOAR 产品本身不解决告警精准的问题,那是 SIEM/SOC 的职责。当然用户可以通过 SOAR 见宿原来安全人员手工分析的过程,让调查和取证速度更快。
8.傅老师,一个剧本需要使用服务器的 root 权限实现处置,在处置过程如何保障账号密码或者证书在 HoneyGuide 系统中的安全性?账号密码如何存储?软件本身的安全性是怎么样的?
关于凭据加密:HoneyGuide 产品有软硬件了两种版本,无论哪种版本都会采用 AES256 加密算法存储用户敏感数据,并且对密钥做了妥善保管。同时硬件产品还会通过 Intel SGX 技术实现关键数据的芯片级加密。
HoneyGuide 作为一款可以联动外部能力的产品,其自身安全性非常重要,为此我们也做了大量的基础工作,包括:账号体系、鉴权登录、用户及角色、操作审计、API 安全、数据安全等防护措施。同时针对某些特定行业的客户,HoneyGuide 还实现了动作级权限控制和操作前二次复核机制等安全机制。
