点开这篇文章的你,一定熟悉 “应急响应” 这个词。我们这篇文档特指信息网络安全领域的应急响应。
应急响应从来就就不是容易的事
在我小的时候,镇子上有个工厂发生了火灾。那时候,人们无法提前预测和实时监测火灾,仅有的告警措施就是通过镇里唯一的一部电话向市消防局求助。而消防人员到达现场,至少也需要一个小时。人们只能远远地围观大火烧掉工厂……
今天,人们已经能够通过天上的卫星、地上的摄像头、红外设备、烟雾传感器等等方式监测发现火灾,并且通过电话、网络等手段及时地通知告警。然而,决定性的一步还在最后——如何以最快的速度出警并且灭火,将损失降到最低。这是消防应急响应过程中的最后一公里;也是极具挑战性的工作。这与我们信息安全领域的应急响应工作几乎完全一样。
安全事件运营的最后一公里
过去几年,随着国家对网络安全重视度的提高,安全厂商们的不断创新以及企业安全建设的日趋完善,企业安全威胁检测的能力也在不断提升。但是,安全事件触发后,事件运营过程中响应能力不足的问题也逐渐凸显。很显然在这方面我们还有很多工作要做。
稍具规模的企业都已部署态势感知、SIME/SOC 或日志分析类产品,能够及时地感知安全威胁,并触发安全事件通知工作人员。相比于 10 年前,企业今天的安全告警已经非常准确,因为它往往是结合了各方面的事件关联分析之后触发的,可信度非常高。但是,你有没有想过:这些安全事件一旦被确定并触发告警,接下来应该由谁来完成应急响应或者事件的运营工作呢?通常,就是我们的一线工程师;并且,他们至今还在使用徒手的方式进行事件响应:登录服务器,查看数据,封禁 IP,打电话,发邮件……然而,一次完整的应急响应,至少涉及 10 个以上的系统、界面以及人脑 CPU 上下文的不断切换。可以肯定地说,传统的应急响应作战方式已经不能满足今天安全对抗频次日趋频繁的现实需求,网络安全领域亟待新的革命。
安全事件运营的最后一公里——应急响应的速度和质量决定了一次重大安全事件能否成功应对并挽回损失。成功的应急响应通过稳定地执行各类预案和快速地处置安全事件,实现减少损失,避免灾难性的影响。因此,我们一直在思考:有没有更好的方法或者产品能够帮助今天的企业加速安全威胁响应?
应急响应自动化是需求更是趋势
让我们认认真真仔仔细细地回放一次完整的应急响应处置过程,当事件告警触发之后,我们会:
- 登录不同的系统(SIEM、SOC、日志)
- 调查受攻击影响的资产(端口开放、资产漏洞、变更记录)
- 确认攻击者 IP 的来路(威胁情报、安全标记、攻击历史)
- 开展损失评估
- 启动攻击溯源
- 电话通知相关人员(响应团队、运维、IT)
- 工单或邮件汇报战况
- 配置防火墙或 WAF 策略
- 必要时升级问题给老板
- ……
要知道,上述环节里面几乎每一个都需要人工的参与。人,成了整个安全事件响应环节中最大的干扰因素。人员休假、不在岗、会议中、状态不佳等等因素,都可能影响到上述响应工作的质量。如果有一种机制可以减少事件响应环节中不必要的人的因素的影响,那么安全事件响应的效率一定会更高。
我已经不记得有多少次在马路口,大巴上,火车站,登机口或电影院的走廊进行应急响应。当我打开电脑通过 3G(那时候常常断网)、4G 接入互联网,拨入公司 VPN,登录堡垒机开始我的应急响应时,这中间 5~10 分钟的黄金时间可能就过去了,而黑客早已 “打完收工”……事实上,无论个人还是企业都期待有更理想的应急响应工具或方法,包括利用产品化的手段,加速当前企业安全威胁响应,并减少该过程中 “人”——这一不稳定因素的干扰。
SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应)是众多解决方案中的代表,它的思想是将各类安全应急响应过程中的动作进行组合,按照剧本化的方式自动开展应急响应工作。借助编排好的安全应急响应剧本,当安全事件发生时,系统将通过自动化的手段进行响应,减少人工干预。这样,安全事件响应的速度和效率能够得到保证,安全应急响应的质量也能够得到保障,更能够在真正的攻防对抗实战中为防守方争取时间,加速威胁响应处置。
过去几年在行业里面,SOAR 是安全领域的一个热门词汇,大家都在关注。国内外的厂商也争相在这个方向上展开竞争。相关的安全产品已经研发并且面世。SOAR 是自适应网络安全框架中的一个重要的实现方式,其核心是通过编排的方式将一系列的安全动作进行组合,以实现自动化的应急响应。我们也常常称之为:“安全套路,自动执行”——将安全专家经验的套路化、自动化。
安全事件编排加速威胁响应
我们以非常典型的 “针对钓鱼邮件攻击的应急事件响应处置流程” 为例。“一名企业员工收到了钓鱼邮件”,虽然它是个很简单的事件,但是真正要开展一次完整的事件运营,还是有难度的;特别是组织规模庞大的企业,因为它需要做一系列动作:
- 根据发件人搜索:除了已知收件人,还给哪些用户发了邮件;
- 根据邮件标题搜索:还有没有其它类似邮件和相关接收人;
- 筛选所有回复了邮件的员工;
- 如果邮件中有超链接,则通过上网行为管理系统分析:有多少人访问过该链接;
- 通过上网行为管理系统、DNS 系统对恶意域名、链接、IP 地址进行屏蔽;
- 全面结构化邮件内容,将附件丢进安全沙箱运行,根据威胁情报识别更多的黑域名、黑 IP 和黑链接,然后加入监控和封禁清单;
- 针对所有回过邮件、点过链接和下载过附件的员工进行针对性信息安全意识培训和终端安全检查;
- 完成事件总结,输出报告。
且不说执行这些动作需要多少时间,单是完成这些工作就需要协调多个部门和人员。这是个耗时、费力且常常重复的工作。有过安全事件处置经验的工程师都知道:这样的事件是还会再次发生的,并且它的处置策略往往比较固定。既然工程师原来是按这个思路来人工处置事件的;那么,为什么我们不把这些安全事件处置的过程交给机器自动化去执行呢?接下来,我们通过雾帜智能公司的增强型 SOAR 产品 HoneyGuide 做一次事件响应和调查的流程编排,借以展示安全剧本编排是何种概念。
如上图所示,通过安全事件编排,工程师可以图形化地将事件响应过程进行剧本化创作。下次再有类似的事情发生的时候,系统可以依照提前编排的剧本,自动调用各类 IT 系统、安全产品或 SaaS 服务,开展自动化的应急响应工作。由于规避了大量人工交互和等待环节,SOAR 将全面加速事件调查、数据分析和设备操作的过程,减少这些环节中不必要的人员参与,大幅提升响应速度,提高响应水平。
安全事件编排及应急响应的未来
虽然以上只是一个非常简单的案例,但是我们能够看到 SOAR 产品的思想,也能够预见 SOAR 产品未来有极大的市场场景。根据 Gartner2019 年对 SOAR 市场的调研报告:“到 2022 年底,30% 的 5 人以上安全团队将采用 SOAR 工具。 ” 近年来随着企业安全建设的不断发展,国家网络安全相关的重视,以及几乎每年一次的贴近实战的网络安全演练活动的开展,企业人力资源成本越来越高。未来,企业在成本和效果之间可能要做艰难的平衡。同时,我们也看到 SOAR 产品及相关的解决方案出现,适时地告诉人们:产品化的自动化应急响应解决方案的确能够帮助企业做到降本增效。
我们还可以做得更多——人机协同
当然,应急响应工作不可能完全依赖自动化执行,再完美的安全剧本也不可能覆盖事件发生过程中的所有环节,必要的人工参与也是不可或缺的。未来,“人机协同” 的安全事件响应流程和产品可能是更好的选择。 作为以人工智能为核心驱动的新生代科技公司——上海雾帜智能科技有限公司坚持将 AI 技术落地到真实应用场景。公司旗下 2019 年 8 月研发成功的的 “SOAR+AI” 产品——HoneyGuide,正是以智能编排、自动化和人机协同为核心思想的革命化安全事件运营神器。我们将在后续的文章中,逐步介绍该产品,欢迎继续关注。
