过于敏感,部分信息已做脱敏和混淆,请勿对号入座。
一、SOAR 背景技术
SOAR 概述
SOAR 是 Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。
SOAR 通过编排自动化技术将原本需要多人协同完成的应急响应过程以安全剧本的方式自动化实现,全面提升响应速度和水平。
SOAR 是 IACD(集成自适应网络防护框架)的具体实现技术之一,通过 “SOAR+AI 人机协同” 等技术,可以实现在网络安全防御中 “最终超越攻击的速度和规模” 这一愿景。
TIPS:集成自适应网络防御(IACD)是一种策略和框架,可采用基于可扩展,自适应,商业现成(COTS)的方法来进行网络安全运营。IACD 通过利用自动化来提高人类防御者的效率,从而将网络防御的速度和规模提高到了人类防御者的水平,将其从响应循环之外转移到了网络防御 “响应循环” 中的响应计划和批准角色。这项工作是由美国国土安全部(DHS)和美国国家安全局(NSA)与约翰霍普金斯大学应用物理实验室(JHU / APL)合作发起的。
Gartner 关于 SOAR 的调研
按照 Gartner 2019 年的市场调研报告,到 2022 年底 30% 的 5 人以上安全团队都将考虑采用 SOAR 解决方案。
2020 年,Gartner 更是将安全流程自动化列入 TOP9 安全和风险技术趋势。
安全技术从业人员的短缺和安全工具中自动化的可用性推动了更多安全过程自动化的使用。该技术基于预定义的规则和模板自动执行以计算机为中心的安全操作任务。自动化的安全任务可以以可伸缩的方式更快地执行,并且错误更少。
参考链接:Gartner Top 9 Security and Risk Trends for 2020 - https://www.gartner.com/smarterwithgartner/gartner-top-9-security-and-risk-trends-for-2020/
二、运营商领域安全风险与挑战
业务速览
电信运营商移动网络由无线网、核心网、承载网、业务网、支撑网和传输网等网络系统构成。
核心网:由电路域和分组域组,负责话音业务的承载和控制 业务网:负责业务逻辑和业务数据处理,包括:彩铃、流媒体、WAP 网关、短信、彩信等 承载网:通过 CE+IP 承载网方式组网,负责跨地市或跨省业务数据的承载 支撑网:为运营商业务的开展提供运行维护和管理决策支持,主要包括业务支撑系统、网管系统、企业信息化系统等
安全现状
作为国家网络通信基础设施,运营商领域客户长期以来面临来自国内外的各类网络攻击,也采取了一系列的安全建设和应对措施。随着近几年网络安全态势的快速演变,网络对抗日益激烈,国家层面屡屡推出在重大活动期间增强网络安全保障的任务。运营商作为网络基础设施机构首当其冲,既是攻击的直接面临者也是安全防护的首要建设者,网络安全压力非常巨大。以下是典型运营商企业的网络安全现状:
- 已经建成初步的防御能力
集团层面和省级单位通常已经建立起了较为完备的安全防御体系,例如:态势感知、Web 安全防护、流量分析、入侵检测、数据防泄漏、威胁情报……在安全的预防、阻止、检测等层面已经具备较为完善的能力。但在安全事件响应层面仍然存在较大的提升空间。
- 安全应急响应需要跨部门频繁协同
当前运营商企业已经能够快速、准确地发现安全威胁,但当发生明确安全事件时,往往需要协调多个部门的人员进行处置,包括:集团人员、分子公司、内部科室、外部合作方、业务方等等。由于沟通协作方面往往受到人这一不稳定因素的影响,导致应急响应速度、水平和质量难以得到保证。
- 大量人工操作交互
多数企业已经建成立体化的安全防护体系,安全事件发生后能够按照既定响应流程开展工作,但响应过程严重依赖人员操作。例如:手工登录 10 台以上的的 WAF 下发安全策略,人工查询多台 IDS 设备获取攻击日志,通过一系列菜单和命令完成一个安全指令的下发。此类操作严重依赖人员的在岗状态、操作技能和产品熟练程度等等,存在严重不确定性。
- 周期性安全操作较多
在重大活动保障场景中,安全团队需要持续不断地开展一系列周期性的工作,如:定时巡检设备,每天上报,每日总结,按时启动扫描等。这里工作大多数是重复性的工作,部分甚至需要做的 7x24 的机动性。在人员有限,精力有限的情况下,很难保证安全工作的速度、效率和质量。
三、安全对策与思路
基于上述重保期间运营商行业遇到的典型问题,雾帜智能团队与相关客户共同探讨并形成了针对运营商行业重保场景的应急响应加速解决方案。
根据工信部和运营商所在集团在网络安全方面的要求,结合前沿的网络防护和响应框架,以安全重保为落地场景,利用分级分类、关联分析、安全编排等技术,打造适合运营商企业的一站式协同作战平台。该平台可以解决两类问题:管理问题和技术问题。
解决管理问题
- 让原本跨地域、跨部门的联合工作通过统一的协作平台完成
- 分场景、分角色部署应急响应任务。为安全巡检组、加固组、检测组、响应处置组等进行单独的配置,提供不同的操作权限和界面
- 通过安全事件任务流程方式,将任务模板与任务内容分拆。通过事件任务完成对安全人员、安全设备、网络资源等等能力的统一驱动和调度
- 提供事件处置模型,基于安全事件生命周期管理开展安全应急响应。在响应过程中能够指派任务、调度人员
- 提供事件总结和知识库管理,帮助安全团队处置安全事件并总结和传承经验
解决技术问题
- 自动化一切” 加速事件响应
以 SOAR 为核心技术,将基础 IT 能力、安全能力、网络能力进行编排,形成高度灵活的事件处置剧本,加速应急响应。通过 SOAR 的前置事件处置能力,将态势感知等系统识别的精准告警信息加入剧本处置队列,替代原有的人工响应过程,解放生产力。
- 增强人机交互,降低沟通成本
通过虚拟作战室 AI 协同机器人,安全人员能够使用自然语言与系统进行交互,调度安全能力,下发安全策略,直接越过原本需要人人、人机复杂沟通操作的过程。
下图是 SOAR 解决方案安全策略与安全能力之间的关系。通过 SOAR 技术内核,安全策略剧本可以调度各类基础安全能力。
四、SOAR 落地与效果
部署和架构
典型的 SOAR 解决方案是在企业部署 SOAR 产品,然后接收 SIEM、SOC、态势感知等产品的安全告警,根据预编排的安全策略开展应急响应。响应过程中调度安全能力、IT 服务、网络设备甚至人力资源。
上图是某省级运营商单位部署 SOAR 产品时的逻辑图。该客户网内已经具备态势感知类安全产品和能力,也能够及时准确发现安全威胁,但在事件响应处置环节仍然有大幅提升空间。每年多次的重大活动保障期间,工信部、集团单位等都有大量安全保障任务需要执行,在人力资源有限的情况下应对日益复杂的网络攻击,安全挑战日趋严峻。在部署 SOAR 解决方案后,安全重保期间工作方式、响应水平、防护能力都得到了全面的提升。
攻防保障组织化
通过平台,安全团队可以开展分组管理。根据不同角色身份配置不同的用户组和用户,在安全事件响应过程中可以根据需要随时组织对用的角色人员进行任务指派。
攻防策略剧本化
重大活动保障场景前后,安全人员可以根据需要在平台中录入不同的安全策略剧本,实现事件响应处置的流程化、自动化——剧本化。
为了方便管理,SOAR 系统通过对安全场景、安全策略分级分类,实现攻防策略剧本化管理。
安全人员通过平台集中管控各类安全事件剧本,并根据当前场景、当前事件类型选择执行不同的剧本。
分钟级甚至秒级事件响应
由于采用了 SOAR 自动化编排技术解决方案,安全事件响应的速度会大幅提升。以防火墙封禁为例,在某些企业可能涉及数十个防火墙,三五个厂商品牌。需要封禁 IP 时,往往多个工程师配合,在 10~20 分钟内内完成全局封禁已经是非常快的速度。但是在 SOAR 解决方案的配合下,系统可以快速决策在哪个防火墙封禁,并调用防火墙接口下发指令封禁,还可以在封禁之前完成 IP 地址白名单、CDN、内部系统等属性判断之后再做下发。
上述动作通过剧本方式可以在数分钟或数十秒内完成,完全不依赖人工操作,大度减少操作等待,提高响应速度。因为安全剧本操作支持自动化处置,因此可以超过工程师人力精力极限,实现 7x24 小时应急响应。
下表是在某运营商重保场景中 SOAR 产品实际使用后的效果体现,SOAR 可以实现全力加速应急响应水平。
场景化管理、分级分类的安全策略管控以及统一集中的安全能力调度指挥等需求,在运营商行业有明确的需求。雾帜智能 AI 人机协同 +SOAR 产品 HoneyGuide 率先通过编排和自动化技术全面满足了此类用户在重大活动网络安全保障场景下的应急保障需求。HoneyGuide 通过解决人机、人人协同,编排调度安全能力,最终帮助企业在应急响应过程中赢得时间,控制风险,全面捍卫企业网络安全,可谓 XX 期间防守方的安全利器!
五、关于雾帜智能
雾帜智能:
2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。
HoneyGuide:
2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世:
- 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题;
- 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。
HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。
往期参考:
- 为什么你的应急响应需要 SOAR?
- 关键时刻,你需要一名智能队友!
- 是什么阻碍了 SOAR 产品与外部能力的交互?
- 雾帜智能荣登《2020 网络安全产业链图谱》安全指挥控制/安全管理平台