SOAR技术文章 【转载】别慌,这回你有 SOAR——关于 PyPI 仓库遭投毒事件的自动化应急响应

jokerface · 2020年10月10日 · 最后由 xiaobing 回复于 2020年10月12日 · 3658 次阅读
本帖已被设为精华帖!

SOAR 是 Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。

前情

还记得此前的 Putty 后门、XShell 后门以及 XCode Ghost 事件吗?

今天,腾讯安全应急响应中心及时发布安全通知【PyPI 官方仓库遭遇 request 恶意包投毒】,将业界视角重新拉回【软件供应链安全】这一关键领域。

以下为引用:

“近日,腾讯洋葱反入侵系统检测发现 PyPI 官方仓库被恶意上传了 request 钓鱼包,由于国内开源镜像站均同步于 PyPI 官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSRC 在此建议各开源镜像站以及对开源镜像站有依赖的公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。”

是的,应急响应的警报拉响了!如今,有无数的企业在使用 Python 开发,大量的 Linux 发行版都在使用 Python。而开发者惯用的仓库 PyPI 更是所有 Python 开发者离不开的基础仓库。一旦它被投毒,影响巨大……

作为国内领先,国际暂不很知名的 SOAR 产品厂商,上海雾帜智能科技有限公司第一时间嗅到了应急响应的气味,并组织安全专家以最快速度拿出了软件供应链安全应急响应剧本,帮助我们的客户加速应对突发事件。

响应

打怪靠装备,应急响应得靠 HoneyGuide!雾帜智能安全专家在收到腾讯安全应急响应中心发布的安全通告后,立即开展了分析研判,其中重点情报如下:

基于此,雾帜专家迅速拟定应急响应策略,如下:

  • 先止血:第一时间阻止域名解析或解析到指定服务器

  • 同步查存:查询企业内部是否有中招的终端

    • 查询过往的 DNS 解析日志
    • 查询防火墙会话列表历史记录,匹配 CC 服务器 IP 地址
    • 查询上网行为管理系统中恶意 URL 的访问记录
  • 根治:排查企业 Python 库是否受感染

  • 监控:对重点域名、IP 进行访问监控或拦截

  • 通知:人员通知、修复通知、培训通知等

在没有自动化应急响应工具的情况下,企业可以依据上述思路开展人工排查。如果已经部署了 SOAR 解决方案产品 HoneyGuide,则可以通过剧本编排的方式进行快速响应。

安全剧本编排

正式启动剧本编排前,需要对安全响应过程中的每个环节进行能力识别,判定出要在哪个系统或工具上执行哪些动作,如下图所示:

安全动作 相关系统 具体功能 备注
DNS 解析拦截 DNSmasq、OneDNS、Windows AD、Bind DNS 请求阻止、DNS 请求污染 企业可根据自身 IT、安全能力进行选择。
查询历史域名请求日志 DNSmasq、OneDNS、Windows AD、Bind、ElasticSearch 查询指定域名的解析日志,至少需要输出源 IP 字段 有些企业已经收集了 DNS 解析日志,因此没有必要直接去调用 DNS 系统接口,调用日志管理系统接口即可。
查询历史 IP 访问日志 防火墙、日志管理系统 查询指定目标 IP 地址的历史访问记录,包括五元组信息。 通常网络会话信息较多,设备本身存储量有限,企业可能已经使用了 ElasticSearch、Splunk 等日志管理解决方案。
文件或组件排查 EDR 终端、青藤云终端、阿里云 API、腾讯云 API 在目标系统上执行问题组件的检查命令,如:“pip list grep request
监控 流量审计系统、上网行为管理系统、DNS 服务器 启动抓包功能、监控指定 IP 会话、监控指定域名解析 按需执行
通知 钉钉、微信、Slack、蓝信、飞书、飞信 发送消息,内容根据具体需要确定 通过公共接口发消息,请注意敏感信息的脱敏。

企业可以根据上述梳理的安全动作以及对应的能力,通过 SOAR 产品进行安全剧本的编排。当然 SOAR 产品需要提前完成对上述能力的调度支持(HoneyGuide 目前已经支持 100+ 国内外主流安全产品、系统或设备的能力对接)。

以雾帜智能公司自己的环境为例,我们使用了阿里云、DNSmasq、微步 OneDNS、钉钉等产品完成了一个小规模的应急响应剧本编排,如下图所示:

注:其中针对 PY 库感染情况的检查可能需要人工操作,所以安全剧本中增加了人工节点。

上述剧本可以将原来需要多人在岗在线花费数个小时才能完成的应急响应工作缩短为几十分钟,甚至更短的时间,从而大幅提升响应速度,降低人力成本。同时,剧本一旦编写完成就可以反复使用,未来同类场景可以持续实现降本增效,增强企业整体安全能力。

补充

小编人在登机口候机,经历了反复的延误通知……终于(第二天)快登机了。行文仓促,望见谅。本文中针对 PyPI 库遭投毒事件的应急响应剧本的设计思路得到了基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群内群友们的大力支持,是多个互联网一线大厂安全专家的智慧结晶。

各种奇思妙想,电光火石,不一一列出,感谢群友!

关于雾帜智能

雾帜智能:

2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。

HoneyGuide:

2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世:

  • 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题;
  • 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

往期参考:

【转载自 微信公众号 - 雾帜智能】

  • 转载链接:(https://mp.weixin.qq.com/s/7pw5BBUit5Dsprt8Np9VFw)

  • 声明:本文来自雾帜智能,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。

这个可以啊,666

admin 将本帖设为了精华贴 10月12日 11:28
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册