基于安全編排自動化與響應技術在網絡安全應急響應中的應用探索

束維國

（安徽省經濟和信息化廳信息中心，安徽 合肥 230001）

引言

在網絡安全工作中，攻與防的對抗本質是人與人的對抗，但如何最大限度發(fā)揮人的經驗和能力，必須要采用必要的自動化工具。本文作者有著多年從事信息化和網絡安全工作經驗，敏銳地發(fā)現隨著網絡安全攻防對抗的日趨激烈，網絡安全單純指望防范和阻止的策略已經失效，必須更加注重檢測與響應，從而提出了網絡安全的應急響應自動化編排技術。

1 網絡安全形勢

隨著互聯網的發(fā)展，政府機構與中大型企業(yè)單位也在不斷進行數字化轉型。業(yè)務的不斷轉型升級，也帶來了新的安全威脅，如何構建更加高效的網絡安全應急體系也變得尤為重要。

由于新型數字貨幣的出現，黑產的變現方式變得更加豐富，難溯源的特點導致黑產更加猖獗。2019 年以來，政府單位，醫(yī)療機構成為了攻擊者的主要目標，攻擊者通過竊取重要用戶數據進行販賣和詐騙，或者在核心系統上種植勒索病毒進行敲詐勒索。

2 網絡安全應急響應挑戰(zhàn)

從最近的安全事件來看，安全意識的漏洞、0day漏洞的爆發(fā)成為主要入侵原因。因此，安全建設并不是一勞永逸，當前的安全策略不能保證未來的安全，我們需要在安全事件爆發(fā)之時，與攻擊者賽跑，盡快響應，將安全事件的危害降到最低。

攻擊者在攻擊時已經用上了自動化工具、協同作戰(zhàn)工具，例如：國外知名滲透測試工具Cobalt Strike。Cobalt Strike 是一款以Metasploit 為基礎的GUI 框架式滲透測試工具，集遠程控制、權限提升、橫向滲透、內網穿透以及文件管理功能為一體，主要用于團隊作戰(zhàn)，被稱為滲透測試神兵利器，可以讓多個攻擊者同時連接到團隊服務器上進行協同作戰(zhàn)。對于防守方，大部分情況下還是徒手作戰(zhàn)階段，網絡安全應急工程師各自憑借工作經驗進行處置。由于防守方的技術水平不同，應急響應的速度和效果往往不一樣。目前中大型企業(yè)和機構組織已經完成大部分的安全基礎架構建設，具備較為完善的安全防御能力。入侵檢測能力、高級威脅感知（APT）能力和態(tài)勢感知能力都逐漸具備，但是檢測之后的應急處置能力還有待提升。由于處置過程缺乏統一的調度指揮，安全事件處置沒有標準化、流程化和自動化。面對日益增加的安全檢測能力，企業(yè)急需一套編排驅動的設備協同工具和響應處置平臺，以提升安全響應的速度和效率，降低MTTR（平均故障恢復時間），加速應急響應[1]。

3 安全編排技術的實戰(zhàn)化應用

企業(yè)和組織機構的安全運營工作在人員指揮調度、告警研判、應急響應、經驗積累及協同作戰(zhàn)諸多方面面臨的挑戰(zhàn)越來越突出。為了應對挑戰(zhàn)，順應安全運營未來發(fā)展的新趨勢，SOAR（Security Orchestration,Automation and Response，安全編排自動化與響應）應運而生。早在2015 年，Gartner 最先提出SOAR，并將其定義為安全運維分析與報告（Security Operations Analytics and Reporting）。隨著安全運維技術的快速發(fā)展與演變，到了2017 年，Gartner 重新將SOAR 定義為安全編排自動化與響應，并將其看作是安全編排與自動化（Security Orchestration and Automation，SOA）、安全事件響應平臺（Security Incident Response Platform，SIRP）和威脅情報平臺（Threat Intelligence Platform，TIP）三者的結合。Gartner 認為，SOAR 技術這樣的創(chuàng)新技術仍然在不斷地演化和改進，未來它的涵義可能有所變化，但是目標不會變化，仍然是圍繞著網絡安全運維、加速應急響應的目的進行迭代。

安全工程師在處理一次安全應急的時候，需要在不同設備中進行切換，登陸各種安全設備進行數據提取。例如：登陸Web 應用防火墻（WAF）設備獲取Web攻擊信息、登陸主機入侵檢測（HIDS）平臺獲取主機告警信息、登陸全流量設備篩選特定流量信息、登陸CMDB 系統查詢資產歸屬。除此之外，還需要借助一些外部互聯網的一些查詢工具，例如：IP 地址歸屬地查詢、威脅情報、在線加解密工具等。通過安全工程師綜合研判并進行相應的處置，處置動作有：下線主機、發(fā)送郵件或者釘釘通知、記錄應急處置過程等。

在使用SOAR 技術之前，不同的安全工程師的思路和水平不同，處理相同的安全事件的方式也有所不同。使用SOAR 技術之后，安全運營過程進行標準化、數字化規(guī)范，當遇到相同安全事件，都采取統一標準、統一步驟執(zhí)行，避免出現因人員能力的差距導致實際應急效果不可控。并且，整個流程通過SOAR 的協同作戰(zhàn)平臺記錄，處置過程可追溯，經驗可沉淀。

3.1 一次基于SOAR 的實戰(zhàn)

通過SOAR 的安全編排技術，制定標準SOP 流程，把原本需要多人、多設備參與的應急處置事件，按照預定的工作劇本（PlayBook）進行應急響應，從而加速了整個應急流程，減少人工消耗的時間，提升安全響應效率。

例如，在阿里云環(huán)境下，當阿里云態(tài)勢感知發(fā)現有“反彈端口連接”的行為，安全工程師一般會按以下處置流程進行處理：

1）確定失陷主機IP。

2）發(fā)送消息、通知（釘釘、郵件）到管理員。

3）登陸實現主機查詢網絡會話歷史。

4）登陸主機入侵檢測平臺，查看主機進程的上下文信息。

5）確定是否為生產環(huán)境。

6）對非生產環(huán)境直接隔離。

7）對生產環(huán)境封禁反彈的目標IP。

8）發(fā)送處置結果消息到管理員。

以上是按先后順序進行處置，并且，從發(fā)生反彈端口的告警到管理員到崗處置，就已經有一個很大的延遲時間。接下來進行這些基礎操作，對于一個熟練的安全工程師，也需要10～20 min 的執(zhí)行時間，可能在這個時間內，黑客都已經完成了數據竊取、木馬種植和勒索病毒種植。

以上應急案例可以通過使用安全編排自動化技術，把將預定義的工作流（Work Flow）和工作劇本（PlayBook）事故調查處置流程進行標準化。

通過自動化編排技術，可以把以上的應急流程編成安全劇本，把原本幾十分鐘的應急事件縮短到幾分鐘以內。并且整個流程有記錄，可以沉淀成知識庫和應急實戰(zhàn)經驗。融合了編排自動化技術的安全應急響應處置平臺，能夠適應更多復雜場景的安全應急響應，以更加貼近實戰(zhàn)的方式為安全團隊賦能。

3.2 SOAR 的實戰(zhàn)意義

面向實戰(zhàn)化安全運營的安全編排自動化與響應系統，能夠將繁雜的安全運營（尤其是安全響應）過程梳理為任務和劇本，將分散的安全工具與功能轉化為可編程的應用和動作，然后借助編排和自動化技術，將人員、工具和流程高度協同，解決安全運營響應中人員匱乏、安全事件響應不及時、重復性運維工作多、安全設備之間缺乏協同以及聯動性差等問題。其主要意義有以下幾點：

1）整合資源、協同連接。系統將分散的設備、人員和流程等安全運營所需的各種資源有機地整合到一起，強調人如何借助編排和自動化高效利用各種安全資源，實現人與設備、設備與設備的連接與協作，解決安全運營的最后一公里落地問題，體現了實戰(zhàn)化安全運營的理念。

2）自動運營、減負增效。利用系統的編排與自動化功能，可以將安全操作流程或其片段轉變成編排化的安全劇本，并盡可能自動化地執(zhí)行，從而大幅降低安全運營人員，尤其是一線安全運營人員的工作負擔，減輕工作壓力，提升工作效率，在現有人員條件下執(zhí)行更多的任務。

3）增強告警、快速分診。處理告警信息是安全運營的一項重要工作。系統能夠在不改變告警分診過程的情況下，將部分處理流程編排化、自動化，縮短整個過程的耗時，讓人更多地進行決策，而不是獲取上下文信息和來回切換工具，從而提升單位時間內處理告警的數量和質量。

4）快速響應、及時補救。安全運營人員可以將針對不同威脅的響應行動方案以預案的形式編寫成安全劇本，納入劇本庫統一管理。在威脅觸發(fā)后，在有人參與或者無人參與的情況下，自動地執(zhí)行相關預案，如執(zhí)行防火墻阻斷操作、執(zhí)行賬號禁用操作、終止某個進程等，大大縮短手動執(zhí)行預案所耗費的時間。事后還能對處置過程進行復盤，對預案進行改進，積累相關經驗。

5）動態(tài)防御、持續(xù)優(yōu)化。安全運營的很大一部分工作都是在進行安全對抗，而對抗的過程是在不斷動態(tài)變化的。系統具備很強的可塑性和可擴展性，安全運營人員能夠根據實戰(zhàn)情況動態(tài)調整和組合流程和劇本。系統能夠自動記錄所有對抗過程的操作記錄，便于事后總結歸納，持續(xù)優(yōu)化[2]。

6）提升人效、高效度量。通過編排與自動化技術手段，提升人的運營水平和績效，幫助安全運營人員從繁重的低端重復性勞動中解脫出來，將工作中心轉移到高端創(chuàng)造性工作中去，提升安全運營人員的技能水平。同時，借助本系統，可以實現安全運營效果的自動化、數字化度量，讓安全管理者更客觀、快速地掌握安全運營團隊的績效，以及安全運營的實際效果。

4 結語

面對日益增長的攻擊事件，安全人員的挑戰(zhàn)也日益嚴峻。除了事前評估，事前布防以外，加速應急響應也是安全建設的重要研究方向。通過引入SOAR 智能編排自動化與響應技術并在實戰(zhàn)中應用，可有效提高安全建設最后一公里的水平，提升安全運營質量。