基于安全編排的自動(dòng)化安全運(yùn)營處置系統(tǒng)研究

薛 亮 周 飛 段 煉

中國移動(dòng)通信集團(tuán)江蘇有限公司

0 引言

近年來安全威脅發(fā)生了很大變化，APT（高級(jí)持續(xù)性威脅）攻擊事件、新興威脅日益增加。依據(jù)現(xiàn)有規(guī)則、關(guān)聯(lián)分析等技術(shù)進(jìn)行安全風(fēng)險(xiǎn)識(shí)別分析與防控已越來越難以滿足未來的發(fā)展趨勢。隨著IT技術(shù)和環(huán)境的變化，信息安全已經(jīng)完成了保密通信信息、全面動(dòng)態(tài)防護(hù)、構(gòu)建可信系統(tǒng)三個(gè)階段的發(fā)展，現(xiàn)已逐步向以安全編排為核心的自動(dòng)化處置與響應(yīng)階段過渡。當(dāng)前的安全技術(shù)發(fā)展趨勢是，須充分利用自動(dòng)化處置技術(shù)，結(jié)合安全編排能力，構(gòu)筑自動(dòng)化平臺(tái)，提供以自動(dòng)化&安全編排為核心，匯聚和構(gòu)建不同場景的安全運(yùn)營能力，為前端業(yè)務(wù)運(yùn)營提供按需定制的安全服務(wù)，實(shí)現(xiàn)“整合安全資源組件、沉淀安全業(yè)務(wù)場景”，為安全能力服務(wù)的快速交付與運(yùn)營提供支撐，降低人工風(fēng)險(xiǎn)排查成本，提升安全縱深防御能力，構(gòu)建智慧、主動(dòng)的立體安全體系。

研究小組鑒于對(duì)以上的安全形勢、安全技術(shù)發(fā)展趨勢分析，確定采用近年安全行業(yè)發(fā)展較為迅速的SOAR（安全編排與自動(dòng)化響應(yīng)）技術(shù)理念，研究探索并打造基于安全編排的自動(dòng)化安全運(yùn)營處置系統(tǒng)，作為安全處置的控制樞紐，其具備自動(dòng)化的安全分析、安全處置、安全運(yùn)營能力，上接各類安全數(shù)據(jù)源如大數(shù)據(jù)分析平臺(tái)、態(tài)勢平臺(tái)、SIEM（安全信息和事件管理）平臺(tái)，下接各種安全基礎(chǔ)系統(tǒng)、工單運(yùn)維系統(tǒng)，快速完成安全運(yùn)營處置自動(dòng)化流程定制，支撐各業(yè)務(wù)系統(tǒng)對(duì)安全處置業(yè)務(wù)能力的需求，并在多個(gè)安全響應(yīng)場景中進(jìn)行應(yīng)用。

1 總體設(shè)計(jì)

自動(dòng)化安全運(yùn)營處置系統(tǒng)為安全業(yè)務(wù)處置提供便利的編排能力，可以根據(jù)安全業(yè)務(wù)場景完成流程定制。通過自動(dòng)處置流程引擎將自動(dòng)化能力貫穿到安全分析、安全處置、安全運(yùn)營體系中，并對(duì)執(zhí)行過程、執(zhí)行結(jié)果進(jìn)行管理，節(jié)省時(shí)間、人力、成本，也避免人在處理大量數(shù)據(jù)的過程中帶來的誤差或失誤[1]。針對(duì)未知安全事件能夠統(tǒng)一協(xié)調(diào)相關(guān)人員通過各類自動(dòng)化工具完成安全事件生命周期的統(tǒng)一處置?？傮w來說，通過研究并構(gòu)建自動(dòng)化的安全運(yùn)營處置系統(tǒng)，拉通了人、設(shè)備與流程之間的關(guān)系，建立了長效的安全處置機(jī)制。

系統(tǒng)總體邏輯架構(gòu)如圖1所示。

圖1 總體邏輯架構(gòu)

系統(tǒng)的總體功能架構(gòu)如圖2所示。

圖2 總體功能架構(gòu)

安全場景編排是自動(dòng)化編排與響應(yīng)系統(tǒng)的核心能力，主要包括設(shè)備插件管理、自動(dòng)化腳本、劇本可視化編排三大類主要能力：

（1）插件管理負(fù)責(zé)配置管理各類安全組件，根據(jù)實(shí)際安全需求動(dòng)態(tài)對(duì)接管理安全設(shè)備，如防火墻、防病毒、WAF等安全設(shè)備。通過配置、管理、對(duì)接安全設(shè)備的具體指令，如任務(wù)下發(fā)接口、指令下發(fā)接口等，實(shí)現(xiàn)安全設(shè)備聯(lián)動(dòng)。

（2）自動(dòng)化腳本是業(yè)務(wù)邏輯實(shí)現(xiàn)的最小單元，通過腳本可以實(shí)現(xiàn)參數(shù)類型轉(zhuǎn)換、負(fù)載優(yōu)化算法、業(yè)務(wù)邏輯判斷等具體算法。

（3）劇本是對(duì)腳本、插件編排的具體描述，用來定義安全事件響應(yīng)的具體流程、步驟。

安全事件處理不僅要應(yīng)對(duì)已知威脅，同時(shí)針對(duì)未知的安全事件需要協(xié)調(diào)處理管理功能。針對(duì)未知的安全事件引入案件管理概念，對(duì)接受到新的未知安全事件統(tǒng)一轉(zhuǎn)化為案件，進(jìn)行人工處理。并能夠針對(duì)案件進(jìn)行經(jīng)驗(yàn)總結(jié)并編寫對(duì)應(yīng)的處置劇本，為相同的事件提供統(tǒng)一的自動(dòng)化處理流程。

基于安全編排的自動(dòng)化安全運(yùn)營處置系統(tǒng)的數(shù)據(jù)流如圖3所示。

圖3 安全運(yùn)營處置系統(tǒng)數(shù)據(jù)流向示意

自動(dòng)響應(yīng)處置需要依賴自動(dòng)化的引擎，對(duì)應(yīng)著可視化編排的劇本和自動(dòng)化的腳本，需要分別有相應(yīng)的引擎對(duì)其解釋并運(yùn)行：

（1）自動(dòng)化流程引擎

自動(dòng)化流程引擎作為工作流的實(shí)際執(zhí)行者，接受自動(dòng)化安全劇本，解析安全劇本，解釋劇本中描述的流程信息，生成自動(dòng)化任務(wù)并完成自動(dòng)化執(zhí)行：①自動(dòng)化劇本執(zhí)行：按照預(yù)設(shè)場景自動(dòng)執(zhí)行預(yù)制的響應(yīng)劇本，安全告警事件關(guān)聯(lián)編排劇本并執(zhí)行；②劇本執(zhí)行過程監(jiān)控：監(jiān)控劇本的任務(wù)執(zhí)行情況，包括劇本所有步驟節(jié)點(diǎn)的執(zhí)行狀態(tài)情況，包括流程執(zhí)行內(nèi)容、日志等信息，方便及時(shí)解決劇本執(zhí)行過程中出現(xiàn)的問題。

（2）自動(dòng)化腳本引擎

自動(dòng)化腳本引擎作為自定義腳本的實(shí)際執(zhí)行者，能夠接受安全劇本節(jié)點(diǎn)中的腳本，在腳本流程任務(wù)中解釋、執(zhí)行腳本程序與指令：①接受執(zhí)行自定義腳本，自定義腳本采用解釋方式運(yùn)行，無需編譯，隨時(shí)修改隨時(shí)失效，便于安全運(yùn)營人員根據(jù)安全需求隨時(shí)進(jìn)行調(diào)整；②支持Python腳本語言，不論開發(fā)人員、運(yùn)維人員、安全運(yùn)營人員都可快速掌握。

2 安全事件處置場景自動(dòng)化

在整個(gè)安全告警事件處置場景的過程中，需要有準(zhǔn)確的資產(chǎn)信息，研究小組將安全運(yùn)營處置系統(tǒng)與資產(chǎn)管理系統(tǒng)進(jìn)行數(shù)據(jù)同步，為所有資產(chǎn)信息提供可靠的數(shù)據(jù)來源，自動(dòng)增加和更新資產(chǎn)信息庫[2]。

劇本編排作為安全運(yùn)營處置系統(tǒng)的核心功能，通過分析安全事件分析、處置的需求，研究小組根據(jù)不同場景建立了多個(gè)劇本，將安全事件處置流程的業(yè)務(wù)邏輯進(jìn)行串聯(lián)，極大提高了本單位安全運(yùn)營處置的工作效率。具體如下：

2.1 場景1：高級(jí)威脅分析

威脅分析是所有企業(yè)安全運(yùn)營工作團(tuán)隊(duì)在安全事件響應(yīng)期間執(zhí)行的首要任務(wù)之一。這里的挑戰(zhàn)是雙重的，首先了解全面的威脅信息指標(biāo)需要跨平臺(tái)調(diào)用不同的工具，其次威脅分析的結(jié)果需要及時(shí)傳遞給各防護(hù)組件以便及時(shí)更新各防護(hù)組件的指標(biāo)、策略庫來阻止重復(fù)的攻擊。安全編排劇本可以通過查詢不同的威脅情報(bào)工具來自動(dòng)豐富指標(biāo)。通過在事件響應(yīng)開始時(shí)運(yùn)行這個(gè)劇本，企業(yè)的安全運(yùn)營人員可以在幾秒鐘內(nèi)獲得豐富的數(shù)據(jù)進(jìn)行研究，從而避免人工逐個(gè)訪問各個(gè)安全防護(hù)組件查詢信息所浪費(fèi)的時(shí)間，同時(shí)能夠?qū)⒎治鼋Y(jié)論及時(shí)更新各監(jiān)視列表和威脅數(shù)據(jù)庫[3]。高級(jí)威脅分析自動(dòng)化劇本如圖4所示。

圖4 高級(jí)威脅分析自動(dòng)化劇本

劇本說明：（1）獲取流量原始日志解析提取流量信息；（2）對(duì)威脅攻擊指標(biāo)進(jìn)行補(bǔ)充，使用多種威脅情報(bào)工具豐富實(shí)體的詳細(xì)信息。例如，使用威脅情報(bào)工具來豐富URL信息，使用DNS服務(wù)來豐富IP信息，并使用威脅情報(bào)工具和沙箱等惡意軟件分析工具來豐富文件信息；（3）根據(jù)各項(xiàng)威脅攻擊指標(biāo)判斷是否為惡意流量；（4）更新情報(bào)庫，劇本基于標(biāo)識(shí)的惡意動(dòng)作初始響應(yīng)動(dòng)作。例如，將惡意指標(biāo)反饋到威脅情報(bào)數(shù)據(jù)庫和工具監(jiān)控列表中，以避免攻擊。

2.2 場景2：惡意流量處置

面對(duì)未知威脅、APT攻擊，傳統(tǒng)防御體系仍然適用，但效果有限，在整個(gè)處置環(huán)境中需要充分協(xié)調(diào)分析、處置等環(huán)節(jié)才能做到有效防護(hù)。安全編排劇本可以將流量分析工具、沙箱驗(yàn)證、防火墻/IPS等工具融合到同一流程中，減少安全運(yùn)營人員工作量，加快響應(yīng)速度。惡意流量處置劇本如圖5所示。

圖5 惡意流量處置劇本

劇本說明：（1）劇本可以從各種來源獲取數(shù)據(jù)，如SIEMs、流量監(jiān)測設(shè)備；（2）對(duì)流量進(jìn)行檢測分析，并對(duì)原始數(shù)據(jù)進(jìn)行補(bǔ)充豐富；（3）判斷是否為惡意流量，生成封堵策略安全人員確認(rèn)；（4）調(diào)用網(wǎng)絡(luò)工具完成封堵并驗(yàn)證封堵效果。

2.3 場景3：可疑文件分析

事件響應(yīng)過程中的一個(gè)重要調(diào)查步驟是在沙箱中進(jìn)行可疑文件的分析，但是，由于惡意軟件分析工具與其他安全產(chǎn)品是獨(dú)立的，安全分析人員在執(zhí)行這項(xiàng)重復(fù)任務(wù)的同時(shí)還要在各個(gè)控制臺(tái)之間進(jìn)行協(xié)調(diào)，這對(duì)他們來說是一種負(fù)擔(dān)。將結(jié)果粘貼到另一個(gè)控制臺(tái)進(jìn)行文檔記錄也非常耗時(shí)，并且增加了出錯(cuò)的幾率。安全編排劇本可以將整個(gè)文件調(diào)查過程自動(dòng)化，既可以作為一個(gè)獨(dú)立的工作流，也可以與其他工具協(xié)同工作。這確保了分析人員不會(huì)浪費(fèi)時(shí)間執(zhí)行活動(dòng)，能夠從劇本流程的分析結(jié)果中獲益，并且由于劇本在核心控制臺(tái)記錄所有操作的結(jié)果，因此也不需要事后手動(dòng)記錄操作過程，極大提高可疑文件分析的效率。可疑文件分析劇本如圖6所示。

圖6 可疑文件分析劇本

劇本說明：（1）劇本可以從各種來源獲取數(shù)據(jù)，如SIEMs、郵箱、威脅情報(bào)源和惡意軟件分析工具；（2）從獲取的數(shù)據(jù)中提取需要調(diào)查的惡意文件；（3）將調(diào)查文件上傳文件到惡意軟件分析工具進(jìn)行調(diào)查和生成報(bào)告；（4）如果發(fā)現(xiàn)文件是惡意文件，則劇本會(huì)使用該信息更新相關(guān)的監(jiān)視列表/黑名單。從這里開始，劇本可以擴(kuò)展到其他操作，例如隔離受感染的端點(diǎn)，以及協(xié)調(diào)來自其他第三方威脅源的數(shù)據(jù)。

2.4 場景4：惡意軟件感染場景

終端保護(hù)是事件響應(yīng)的關(guān)鍵部分，安全運(yùn)營團(tuán)隊(duì)經(jīng)常需要在端點(diǎn)工具和其他安全工具之間進(jìn)行協(xié)調(diào)，同時(shí)打開多個(gè)控制臺(tái)，并花費(fèi)寶貴的時(shí)間執(zhí)行重復(fù)的手動(dòng)處置工作。安全編排劇本可以將態(tài)感知平臺(tái)和端點(diǎn)工具之間的流程統(tǒng)一到一個(gè)工作流中，在將分析人員引入重要決策和調(diào)查活動(dòng)之前自動(dòng)執(zhí)行需要重復(fù)操作的步驟。

面對(duì)越來越多的勒索軟件，以及越來越多的定向攻擊APT，傳統(tǒng)的病毒碼已經(jīng)無法抵御勒索軟件等APT的威脅，可以結(jié)合可疑文件分析劇本與惡意文件處理劇本來建立一套勒索軟件及定向攻擊APT分析處置流程[4]。惡意軟件處理劇本如圖7所示。

圖7 惡意軟件處理劇本

劇本說明：（1）劇本從各種來源獲取數(shù)據(jù)，如SIEMs、惡意軟件分析工具、終端防病毒工具；（2）調(diào)用可疑文件分析自劇本進(jìn)行文件驗(yàn)證；（3）查詢感染主機(jī)；（4）隔離主機(jī)、主機(jī)殺毒處理、主機(jī)加固。

2.5 場景5：漏洞管理場景

漏洞管理涵蓋了各種主動(dòng)和被動(dòng)的安全操作，安全運(yùn)營團(tuán)隊(duì)經(jīng)常無法成功地跨環(huán)境關(guān)聯(lián)數(shù)據(jù)，需要花費(fèi)太多時(shí)間來統(tǒng)一上下文，而沒有足夠的時(shí)間來補(bǔ)救漏洞。在將控制權(quán)交給分析師進(jìn)行手動(dòng)修復(fù)之前，安全編排劇本可以自動(dòng)充實(shí)漏洞信息和增加漏洞上下文。通過確保分析人員的時(shí)間不是花在執(zhí)行重復(fù)的任務(wù)上，而是花在做出關(guān)鍵的決策和推斷上，從而保持自動(dòng)化和手動(dòng)過程之間的平衡[5]。漏洞管理劇本如圖8所示。

圖8 漏洞管理劇本

劇本說明：（1）驅(qū)動(dòng)漏掃工具完成資產(chǎn)漏洞掃描任務(wù)；（2）獲取漏掃結(jié)果；（3）通過相關(guān)工具豐富漏洞信息，如資產(chǎn)信息；（4）通過漏洞管理工具查詢與該漏洞相關(guān)的信息，后果和補(bǔ)救措施；（5）將通知相應(yīng)安全分析或運(yùn)維人員進(jìn)行手動(dòng)調(diào)查和修復(fù)漏洞；（6）修補(bǔ)效果驗(yàn)證。

2.6 場景6：惡意郵件處置場景

郵件系統(tǒng)連接互聯(lián)網(wǎng)，隨著辦公業(yè)務(wù)的發(fā)展及人員的擴(kuò)充，郵件服務(wù)的穩(wěn)定性和安全性愈發(fā)重要。釣魚郵件是最常見的、最容易執(zhí)行的、最有害的安全攻擊之一。超過90%的數(shù)據(jù)泄露都是從網(wǎng)絡(luò)釣魚郵件開始的，因此潛在的經(jīng)濟(jì)損失是真實(shí)存在的。安全分析師在應(yīng)對(duì)網(wǎng)絡(luò)釣魚攻擊時(shí)面臨諸多挑戰(zhàn)，例如，如何在不耗盡精力的情況下處理攻擊事件；如何避免在多個(gè)屏幕之間頻繁切換進(jìn)行快速分析與響應(yīng)；如何在完成日常處置任務(wù)時(shí)避免人為錯(cuò)誤；如何進(jìn)行快速報(bào)告輸出等，都是令人擔(dān)憂的問題。安全運(yùn)營處置系統(tǒng)可以使用“網(wǎng)絡(luò)釣魚劇本”，以快速執(zhí)行重復(fù)的任務(wù)，識(shí)別誤報(bào)，并與郵件防護(hù)系統(tǒng)進(jìn)行對(duì)接聯(lián)動(dòng)、協(xié)同，進(jìn)行標(biāo)準(zhǔn)化的網(wǎng)絡(luò)釣魚郵件響應(yīng)[6]。惡意郵件處理流程劇本如圖9所示。

圖9 惡意郵件處理流程劇本

劇本說明：（1）發(fā)起漏掃任務(wù)（漏掃工具漏掃任務(wù)接口）；（2）獲取漏掃結(jié)果（漏掃工具結(jié)果查詢接口）；（3）匯總漏掃信息以及補(bǔ)救措施（漏洞管理庫查詢接口、補(bǔ)丁下載接口）；（4）確認(rèn)漏掃結(jié)果；（5）生成整改工單發(fā)送整改人（工單系統(tǒng)工單接口）；（6）整改完成負(fù)責(zé)人確認(rèn)；（7）完結(jié)歸檔。

安全運(yùn)營處置系統(tǒng)目前具備這6類場景的自動(dòng)處置劇本，具備穩(wěn)定的性能、可靠的安全性、擴(kuò)展性和可管理性。在事件響應(yīng)管理方面，通過預(yù)定義的調(diào)查模式自動(dòng)聚合事件、告警和相關(guān)的上下文信息；在安全編排方面，使用自動(dòng)化，例如，告警的上下文豐富、通過集成和聯(lián)動(dòng)其他安全響應(yīng)能力；在威脅搜索方面，支持匹配搜索日志，事件，網(wǎng)絡(luò)數(shù)據(jù)包，網(wǎng)絡(luò)會(huì)話；在與第三方系統(tǒng)的集成方面，支持與第三方系統(tǒng)的集成以支持工作流和自動(dòng)化功能，例如API，Web調(diào)用等。

安全運(yùn)營處置系統(tǒng)已應(yīng)用在我司網(wǎng)絡(luò)安全運(yùn)營與防護(hù)的工作過程中，對(duì)于運(yùn)營效率提升明顯。

（1）實(shí)施前流程中日均上萬條威脅數(shù)據(jù)必須依靠人工的甄別方式進(jìn)行分析和處置，即便分類處置，仍然工作量巨大。實(shí)施后依據(jù)劇本定制的快捷優(yōu)勢，對(duì)于大多數(shù)的安全威脅風(fēng)險(xiǎn)無需人工甄別和處置風(fēng)險(xiǎn)，全天候自動(dòng)快速準(zhǔn)確處置威脅。

（2）實(shí)施前處置流程定制化設(shè)備接入和處置流程平均每流程需花費(fèi)較多的研發(fā)、測試的工作量，流程上線后任何需求變更也要經(jīng)過開發(fā)、測試、上線等階段，時(shí)間也較為冗長。研究小組通過安全運(yùn)營處置系統(tǒng)的自動(dòng)化編排和處置能力，可以在短時(shí)間內(nèi)完成設(shè)備的接入和自動(dòng)化流程劇本編制、處理時(shí)間可達(dá)到小時(shí)級(jí)完成，定制化成本大幅縮減。

（3）實(shí)施前處置流程較為粗礦，只能針對(duì)較寬泛的類別對(duì)威脅進(jìn)行處置，實(shí)施后的每一類威脅均可快速定義劇本，根據(jù)劇本精準(zhǔn)處理威脅。

（4）安全運(yùn)營處置系統(tǒng)每天精準(zhǔn)自動(dòng)化處置安全威脅上萬條。除了已知安全事件，針對(duì)未知的安全事件引入案件管理概念，對(duì)接受到的未知安全事件統(tǒng)一轉(zhuǎn)化為案件，進(jìn)行人工處理，編寫對(duì)應(yīng)的處理劇本，大幅增加未知風(fēng)險(xiǎn)的甄別能力。

3 結(jié)束語

研究小組通過SOAR（安全編排與自動(dòng)化響應(yīng)）技術(shù)的深入研究探索，結(jié)合實(shí)際安全運(yùn)營工作場景進(jìn)行應(yīng)用探索，有效解決了安全工作中的一些長期存在的痛點(diǎn)、難點(diǎn)安全問題，同時(shí)也大幅提高安全運(yùn)營工作的效率?；诋?dāng)前的研究成果與進(jìn)一步的技術(shù)研究，研究小組認(rèn)為，未來可以進(jìn)一步研究探索利用自動(dòng)化的安全運(yùn)營處置系統(tǒng)，將其作為關(guān)鍵的能力聚合樞紐，做到企業(yè)各安全平臺(tái)原子化能力的整合以及實(shí)現(xiàn)企業(yè)開放的安全能力運(yùn)營中心（SOC）[7]。