束維國(guó)

（安徽省經(jīng)濟(jì)和信息化廳信息中心，安徽 合肥 230001）

引言

在網(wǎng)絡(luò)安全工作中，攻與防的對(duì)抗本質(zhì)是人與人的對(duì)抗，但如何最大限度發(fā)揮人的經(jīng)驗(yàn)和能力，必須要采用必要的自動(dòng)化工具。本文作者有著多年從事信息化和網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)，敏銳地發(fā)現(xiàn)隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈，網(wǎng)絡(luò)安全單純指望防范和阻止的策略已經(jīng)失效，必須更加注重檢測(cè)與響應(yīng)，從而提出了網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)自動(dòng)化編排技術(shù)。

1 網(wǎng)絡(luò)安全形勢(shì)

隨著互聯(lián)網(wǎng)的發(fā)展，政府機(jī)構(gòu)與中大型企業(yè)單位也在不斷進(jìn)行數(shù)字化轉(zhuǎn)型。業(yè)務(wù)的不斷轉(zhuǎn)型升級(jí)，也帶來(lái)了新的安全威脅，如何構(gòu)建更加高效的網(wǎng)絡(luò)安全應(yīng)急體系也變得尤為重要。

由于新型數(shù)字貨幣的出現(xiàn)，黑產(chǎn)的變現(xiàn)方式變得更加豐富，難溯源的特點(diǎn)導(dǎo)致黑產(chǎn)更加猖獗。2019 年以來(lái)，政府單位，醫(yī)療機(jī)構(gòu)成為了攻擊者的主要目標(biāo)，攻擊者通過(guò)竊取重要用戶(hù)數(shù)據(jù)進(jìn)行販賣(mài)和詐騙，或者在核心系統(tǒng)上種植勒索病毒進(jìn)行敲詐勒索。

2 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)挑戰(zhàn)

從最近的安全事件來(lái)看，安全意識(shí)的漏洞、0day漏洞的爆發(fā)成為主要入侵原因。因此，安全建設(shè)并不是一勞永逸，當(dāng)前的安全策略不能保證未來(lái)的安全，我們需要在安全事件爆發(fā)之時(shí)，與攻擊者賽跑，盡快響應(yīng)，將安全事件的危害降到最低。

攻擊者在攻擊時(shí)已經(jīng)用上了自動(dòng)化工具、協(xié)同作戰(zhàn)工具，例如：國(guó)外知名滲透測(cè)試工具Cobalt Strike。Cobalt Strike 是一款以Metasploit 為基礎(chǔ)的GUI 框架式滲透測(cè)試工具，集遠(yuǎn)程控制、權(quán)限提升、橫向滲透、內(nèi)網(wǎng)穿透以及文件管理功能為一體，主要用于團(tuán)隊(duì)作戰(zhàn)，被稱(chēng)為滲透測(cè)試神兵利器，可以讓多個(gè)攻擊者同時(shí)連接到團(tuán)隊(duì)服務(wù)器上進(jìn)行協(xié)同作戰(zhàn)。對(duì)于防守方，大部分情況下還是徒手作戰(zhàn)階段，網(wǎng)絡(luò)安全應(yīng)急工程師各自憑借工作經(jīng)驗(yàn)進(jìn)行處置。由于防守方的技術(shù)水平不同，應(yīng)急響應(yīng)的速度和效果往往不一樣。目前中大型企業(yè)和機(jī)構(gòu)組織已經(jīng)完成大部分的安全基礎(chǔ)架構(gòu)建設(shè)，具備較為完善的安全防御能力。入侵檢測(cè)能力、高級(jí)威脅感知（APT）能力和態(tài)勢(shì)感知能力都逐漸具備，但是檢測(cè)之后的應(yīng)急處置能力還有待提升。由于處置過(guò)程缺乏統(tǒng)一的調(diào)度指揮，安全事件處置沒(méi)有標(biāo)準(zhǔn)化、流程化和自動(dòng)化。面對(duì)日益增加的安全檢測(cè)能力，企業(yè)急需一套編排驅(qū)動(dòng)的設(shè)備協(xié)同工具和響應(yīng)處置平臺(tái)，以提升安全響應(yīng)的速度和效率，降低MTTR（平均故障恢復(fù)時(shí)間），加速應(yīng)急響應(yīng)[1]。

3 安全編排技術(shù)的實(shí)戰(zhàn)化應(yīng)用

企業(yè)和組織機(jī)構(gòu)的安全運(yùn)營(yíng)工作在人員指揮調(diào)度、告警研判、應(yīng)急響應(yīng)、經(jīng)驗(yàn)積累及協(xié)同作戰(zhàn)諸多方面面臨的挑戰(zhàn)越來(lái)越突出。為了應(yīng)對(duì)挑戰(zhàn)，順應(yīng)安全運(yùn)營(yíng)未來(lái)發(fā)展的新趨勢(shì)，SOAR（Security Orchestration,Automation and Response，安全編排自動(dòng)化與響應(yīng)）應(yīng)運(yùn)而生。早在2015 年，Gartner 最先提出SOAR，并將其定義為安全運(yùn)維分析與報(bào)告（Security Operations Analytics and Reporting）。隨著安全運(yùn)維技術(shù)的快速發(fā)展與演變，到了2017 年，Gartner 重新將SOAR 定義為安全編排自動(dòng)化與響應(yīng)，并將其看作是安全編排與自動(dòng)化（Security Orchestration and Automation，SOA）、安全事件響應(yīng)平臺(tái)（Security Incident Response Platform，SIRP）和威脅情報(bào)平臺(tái)（Threat Intelligence Platform，TIP）三者的結(jié)合。Gartner 認(rèn)為，SOAR 技術(shù)這樣的創(chuàng)新技術(shù)仍然在不斷地演化和改進(jìn)，未來(lái)它的涵義可能有所變化，但是目標(biāo)不會(huì)變化，仍然是圍繞著網(wǎng)絡(luò)安全運(yùn)維、加速應(yīng)急響應(yīng)的目的進(jìn)行迭代。

安全工程師在處理一次安全應(yīng)急的時(shí)候，需要在不同設(shè)備中進(jìn)行切換，登陸各種安全設(shè)備進(jìn)行數(shù)據(jù)提取。例如：登陸Web 應(yīng)用防火墻（WAF）設(shè)備獲取Web攻擊信息、登陸主機(jī)入侵檢測(cè)（HIDS）平臺(tái)獲取主機(jī)告警信息、登陸全流量設(shè)備篩選特定流量信息、登陸CMDB 系統(tǒng)查詢(xún)資產(chǎn)歸屬。除此之外，還需要借助一些外部互聯(lián)網(wǎng)的一些查詢(xún)工具，例如：IP 地址歸屬地查詢(xún)、威脅情報(bào)、在線加解密工具等。通過(guò)安全工程師綜合研判并進(jìn)行相應(yīng)的處置，處置動(dòng)作有：下線主機(jī)、發(fā)送郵件或者釘釘通知、記錄應(yīng)急處置過(guò)程等。

在使用SOAR 技術(shù)之前，不同的安全工程師的思路和水平不同，處理相同的安全事件的方式也有所不同。使用SOAR 技術(shù)之后，安全運(yùn)營(yíng)過(guò)程進(jìn)行標(biāo)準(zhǔn)化、數(shù)字化規(guī)范，當(dāng)遇到相同安全事件，都采取統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一步驟執(zhí)行，避免出現(xiàn)因人員能力的差距導(dǎo)致實(shí)際應(yīng)急效果不可控。并且，整個(gè)流程通過(guò)SOAR 的協(xié)同作戰(zhàn)平臺(tái)記錄，處置過(guò)程可追溯，經(jīng)驗(yàn)可沉淀。

3.1 一次基于SOAR 的實(shí)戰(zhàn)

通過(guò)SOAR 的安全編排技術(shù)，制定標(biāo)準(zhǔn)SOP 流程，把原本需要多人、多設(shè)備參與的應(yīng)急處置事件，按照預(yù)定的工作劇本（PlayBook）進(jìn)行應(yīng)急響應(yīng)，從而加速了整個(gè)應(yīng)急流程，減少人工消耗的時(shí)間，提升安全響應(yīng)效率。

例如，在阿里云環(huán)境下，當(dāng)阿里云態(tài)勢(shì)感知發(fā)現(xiàn)有“反彈端口連接”的行為，安全工程師一般會(huì)按以下處置流程進(jìn)行處理：

1）確定失陷主機(jī)IP。

2）發(fā)送消息、通知（釘釘、郵件）到管理員。

3）登陸實(shí)現(xiàn)主機(jī)查詢(xún)網(wǎng)絡(luò)會(huì)話(huà)歷史。

4）登陸主機(jī)入侵檢測(cè)平臺(tái)，查看主機(jī)進(jìn)程的上下文信息。

5）確定是否為生產(chǎn)環(huán)境。

6）對(duì)非生產(chǎn)環(huán)境直接隔離。

7）對(duì)生產(chǎn)環(huán)境封禁反彈的目標(biāo)IP。

8）發(fā)送處置結(jié)果消息到管理員。

以上是按先后順序進(jìn)行處置，并且，從發(fā)生反彈端口的告警到管理員到崗處置，就已經(jīng)有一個(gè)很大的延遲時(shí)間。接下來(lái)進(jìn)行這些基礎(chǔ)操作，對(duì)于一個(gè)熟練的安全工程師，也需要10～20 min 的執(zhí)行時(shí)間，可能在這個(gè)時(shí)間內(nèi)，黑客都已經(jīng)完成了數(shù)據(jù)竊取、木馬種植和勒索病毒種植。

以上應(yīng)急案例可以通過(guò)使用安全編排自動(dòng)化技術(shù)，把將預(yù)定義的工作流（Work Flow）和工作劇本（PlayBook）事故調(diào)查處置流程進(jìn)行標(biāo)準(zhǔn)化。

通過(guò)自動(dòng)化編排技術(shù)，可以把以上的應(yīng)急流程編成安全劇本，把原本幾十分鐘的應(yīng)急事件縮短到幾分鐘以?xún)?nèi)。并且整個(gè)流程有記錄，可以沉淀成知識(shí)庫(kù)和應(yīng)急實(shí)戰(zhàn)經(jīng)驗(yàn)。融合了編排自動(dòng)化技術(shù)的安全應(yīng)急響應(yīng)處置平臺(tái)，能夠適應(yīng)更多復(fù)雜場(chǎng)景的安全應(yīng)急響應(yīng)，以更加貼近實(shí)戰(zhàn)的方式為安全團(tuán)隊(duì)賦能。

3.2 SOAR 的實(shí)戰(zhàn)意義

面向?qū)崙?zhàn)化安全運(yùn)營(yíng)的安全編排自動(dòng)化與響應(yīng)系統(tǒng)，能夠?qū)⒎彪s的安全運(yùn)營(yíng)（尤其是安全響應(yīng)）過(guò)程梳理為任務(wù)和劇本，將分散的安全工具與功能轉(zhuǎn)化為可編程的應(yīng)用和動(dòng)作，然后借助編排和自動(dòng)化技術(shù)，將人員、工具和流程高度協(xié)同，解決安全運(yùn)營(yíng)響應(yīng)中人員匱乏、安全事件響應(yīng)不及時(shí)、重復(fù)性運(yùn)維工作多、安全設(shè)備之間缺乏協(xié)同以及聯(lián)動(dòng)性差等問(wèn)題。其主要意義有以下幾點(diǎn)：

1）整合資源、協(xié)同連接。系統(tǒng)將分散的設(shè)備、人員和流程等安全運(yùn)營(yíng)所需的各種資源有機(jī)地整合到一起，強(qiáng)調(diào)人如何借助編排和自動(dòng)化高效利用各種安全資源，實(shí)現(xiàn)人與設(shè)備、設(shè)備與設(shè)備的連接與協(xié)作，解決安全運(yùn)營(yíng)的最后一公里落地問(wèn)題，體現(xiàn)了實(shí)戰(zhàn)化安全運(yùn)營(yíng)的理念。

2）自動(dòng)運(yùn)營(yíng)、減負(fù)增效。利用系統(tǒng)的編排與自動(dòng)化功能，可以將安全操作流程或其片段轉(zhuǎn)變成編排化的安全劇本，并盡可能自動(dòng)化地執(zhí)行，從而大幅降低安全運(yùn)營(yíng)人員，尤其是一線安全運(yùn)營(yíng)人員的工作負(fù)擔(dān)，減輕工作壓力，提升工作效率，在現(xiàn)有人員條件下執(zhí)行更多的任務(wù)。

3）增強(qiáng)告警、快速分診。處理告警信息是安全運(yùn)營(yíng)的一項(xiàng)重要工作。系統(tǒng)能夠在不改變告警分診過(guò)程的情況下，將部分處理流程編排化、自動(dòng)化，縮短整個(gè)過(guò)程的耗時(shí)，讓人更多地進(jìn)行決策，而不是獲取上下文信息和來(lái)回切換工具，從而提升單位時(shí)間內(nèi)處理告警的數(shù)量和質(zhì)量。

4）快速響應(yīng)、及時(shí)補(bǔ)救。安全運(yùn)營(yíng)人員可以將針對(duì)不同威脅的響應(yīng)行動(dòng)方案以預(yù)案的形式編寫(xiě)成安全劇本，納入劇本庫(kù)統(tǒng)一管理。在威脅觸發(fā)后，在有人參與或者無(wú)人參與的情況下，自動(dòng)地執(zhí)行相關(guān)預(yù)案，如執(zhí)行防火墻阻斷操作、執(zhí)行賬號(hào)禁用操作、終止某個(gè)進(jìn)程等，大大縮短手動(dòng)執(zhí)行預(yù)案所耗費(fèi)的時(shí)間。事后還能對(duì)處置過(guò)程進(jìn)行復(fù)盤(pán)，對(duì)預(yù)案進(jìn)行改進(jìn)，積累相關(guān)經(jīng)驗(yàn)。

5）動(dòng)態(tài)防御、持續(xù)優(yōu)化。安全運(yùn)營(yíng)的很大一部分工作都是在進(jìn)行安全對(duì)抗，而對(duì)抗的過(guò)程是在不斷動(dòng)態(tài)變化的。系統(tǒng)具備很強(qiáng)的可塑性和可擴(kuò)展性，安全運(yùn)營(yíng)人員能夠根據(jù)實(shí)戰(zhàn)情況動(dòng)態(tài)調(diào)整和組合流程和劇本。系統(tǒng)能夠自動(dòng)記錄所有對(duì)抗過(guò)程的操作記錄，便于事后總結(jié)歸納，持續(xù)優(yōu)化[2]。

6）提升人效、高效度量。通過(guò)編排與自動(dòng)化技術(shù)手段，提升人的運(yùn)營(yíng)水平和績(jī)效，幫助安全運(yùn)營(yíng)人員從繁重的低端重復(fù)性勞動(dòng)中解脫出來(lái)，將工作中心轉(zhuǎn)移到高端創(chuàng)造性工作中去，提升安全運(yùn)營(yíng)人員的技能水平。同時(shí)，借助本系統(tǒng)，可以實(shí)現(xiàn)安全運(yùn)營(yíng)效果的自動(dòng)化、數(shù)字化度量，讓安全管理者更客觀、快速地掌握安全運(yùn)營(yíng)團(tuán)隊(duì)的績(jī)效，以及安全運(yùn)營(yíng)的實(shí)際效果。

4 結(jié)語(yǔ)

面對(duì)日益增長(zhǎng)的攻擊事件，安全人員的挑戰(zhàn)也日益嚴(yán)峻。除了事前評(píng)估，事前布防以外，加速應(yīng)急響應(yīng)也是安全建設(shè)的重要研究方向。通過(guò)引入SOAR 智能編排自動(dòng)化與響應(yīng)技術(shù)并在實(shí)戰(zhàn)中應(yīng)用，可有效提高安全建設(shè)最后一公里的水平，提升安全運(yùn)營(yíng)質(zhì)量。