一、背景介绍
过去几年,网络安全领域热门关键词 “SOAR” 和 “威胁情报” 备受关注。
SOAR 是 Security Orchestration Automation and Response 的缩写,直译为 “安全编排自动化与响应”,意指:借助安全排编和自动化技术,对既有安全产品、网络设备、IT 系统和 SaaS 服务等基础能力进行统筹调度;基于可视化剧本编排和调度执行引擎,开展有逻辑、有顺序的自动化流程操作,实现日常安全事件运营和突发事件处置的过程自动化。代表厂商:雾帜智能。
Threat Intelligence——威胁情报是识别和分析网络威胁的过程。“威胁情报” 一词可以指关于潜在威胁收集的数据或收集、处理和分析该数据以更好了解威胁的过程。威胁情报还包括筛选数据、根据上下文检查数据以发现问题并针对发现的问题部署解决方案。代表厂商:微步在线。
本文将讨论在安全运营实战过程中如何使用 SOAR+ 威胁情报的方式,开展更快速、更稳定和更智能的安全运营。
二、应用场景
有过一线安全事件运营经验的工程师一定有这样的体会:大量事件运营和处置的过程,需要持续不断丰富的信息上下文,尤其是针对 IP、域名、文件相关的特征描述、威胁标签等。至少有两大类场景是高度依赖威胁情报的:
批量识别与降噪:企业已有的 SIEM 平台初次告警往往误报率较高,需要做二次筛选获判,才能实现有效降噪
快速判断与处置:应急响应期间,针对特定域名、IP、文件进行快速处置时,往往缺少有效的上下文或背景信息,导致响应过度依赖人工,速率下降,失效不足,风险不可控制
威胁情报刚好能解决上述两个场景的问题。专业的威胁情报厂商通过及时、稳定和持续的情报信息,为安全人员提供个性化的查询服务,在事件处置过程中提供重要决策依据。
三、典型困难
然而,现实情况是,上述两个场景在实战落地时往往遇到巨大的挑战。这些挑战多半是因为人力不可及而导致的,包括:工作量、请求速率、二次判断、数据回传等。
首先,数量大。如果上游 SIEM 每分钟产生上百条安全告警,而这些告警里的源 IP 都需要进行威胁情报信息补充的话,就算安全工作人员有三头六臂,也不可能 7x24 小时手工查询威胁情报。
其次,频次高。安全事件监控和响应通常都有极高的 MTTD 和 MTTR 运营指标,单纯依靠人员查询,效率极其低下。一个简单的信息查询,通常包括:复制原始信息,登录情报平台,完成身份认证,查询情报信息,复制查询结果,回传告警系统,少则几十秒,多则几分钟。在实战情况下,往往各种原因导致情报查询缓慢,应急响应贻误战机。
再次:逻辑多。威胁情报查询的结果,通常不是立即使用,而是要结合情报的返回结果和应用场景进行二次判断,实现综合决策。例如:标签、历史、特征、分值、可信度、域名情报引入的 IP 情报……这些判断靠人工几乎很难标准化、自动化。
最后:操作难。所有的情报查询结果,最终都会应用到事件运营和响应过程中,通常的情报消费方包括:SIEM、SOC、工单、防火墙封禁逻辑、网络微隔离逻辑等等。数据交互的过程除了人机操作界面,绝大多数都是 API 接口,人类工程师无法直接调用。由此,导致情报查询的结果无法通过安全、高效的途径传递给其它单元。
这些实战痛点问题该如何解决呢?
四、SOAR 增强威胁情报的实战应用
2019 年 8 月国内首发的 AI+SOAR 产品——雾帜智能 HoneyGuide,通过虚拟作战室、AI 机器人和可视化剧本编排,帮助安全团队加速威胁响应与处置,提升运营自动化,实现安全风险自适应治理。
1、解决情报批量识别和降噪的问题
批量查询威胁情报,并使用情报结果,这是典型的 SIEM/SOC 安全事件分析场景的基础需求,然而此类场景的并发量大,时间周期短,是人力不可为的,挑战巨大。
(1)关键步骤
雾帜智能 HoneyGuide SOAR + 微步在线威胁情报,可实现情报批量查询及反馈,主要流程:
- 安全剧本启动后,获取 SIEM(如:IBM Qradar)告警批量文件(客户提供);
- 剧本对 zip 文件解压缩,并拆分为 1000 个/文件;
- 循环处置告警文件,并从告警条目中摘取,IP、域名、URL 等;
- 调用微步在线威胁情报接口,查询威胁情报;
- 整理并聚合威胁情报查询结果;
- 通过 SIEM 平台 API 接口,回传给 SIEM;
- 还可以根据需要增加,其它判断逻辑,通过拖拽即可实现逻辑编排;
- 将上述安全剧本以定时器方式设置执行。
实战策略来源:某股份制商业银行、某科技金融公司、某汽车制造业公司
(2)实战成效
通过落地上述 SOAR + 威胁情报应用的组合,客户安全事件运营效率大幅提升,主要体现在:
多!上万次的数据查询,可在数分钟内完成,无需人员手工操作;
准!情报查询效率大幅提升,反向给 SIEM 提供更高质量的情报标签,增强了威胁告警的准确率,实现了大幅降噪;
快!因为全自动实现了情报查询,大幅解放安全生产力,工程师可以投入到更需要创造力的安全场景;
稳!自动化情报查询和安全运营,将安全团队的运营能力稳定在较高的水准上,不会因为人员职位变动、请假、生病、出差等问道导致运营水平下降。
几十倍上百倍的效率提升!
2、解决快速判断和处置的问题
安全运营团队在应对突发事件或者重保模式下开展应急处置时,往往需要快速决策是否要立即封禁某个 IP、关停某个域名、拦截某个 URL,隔离某台主机。单凭简单的资产表格,工程师很难下定决心做出处置动作,往往还需要足够的背景知识和上下文信息,此时情报可以充当非常重要的补充。当你决定要不要封禁某个 IP 地址的时候,威胁情报信息能够给你足够的信心支持。
情报查询往往涉及到频繁的手工操作,靠工程师徒手应急响应,完全无法满足实战攻防场景下的时效要求。
(1)关键步骤
雾帜智能 HoneyGuide SOAR + 微步在线威胁情报,可实现日常运营或者护网应急处置 IP 封禁、威胁遏制、主机隔离等场景的自动化响应,其主要流程包括:
- 接收安全事件输入,判断是否需要采取应急处置(人工或自动);
- 决策需要对 IP、域名、主机进行策略拦截,但还需要更丰富的信息;
- 查询对应的资产属性信息;
- 查询对应的威胁情报信息;
- 根据返回的威胁情报信息,再决策采取何种动作(如:地理位置、威胁标记、标签集合等);
- 调用下游安全产品进行威胁拦截 ;
- 在安全事件自动处置流程中引入安全剧本,或者在安全协同作战室中手工执行安全剧本。
实战策略来源:某能源行业集团公司、某国网电力公司、某大型证券行业客户、某个电信运营商客户
(2)实战成效
通过落地上述 SOAR + 威胁情报应用的组合,安全人员原本的徒手应急响应将得到全面改观,安全事件响应的时效和水准也得到了极速提升,主要体现在:
- 几乎零等待地查询到需要的情报信息,无需人工登录平台手工查询;
- 自动和上下游能力协作,免人工参与开展自动化应急响应;
- 情报查询结果可以结构化使用,便于灵活定制风险决策逻辑;
- 极速、精准并高效低地完成安全事件应急响应,MTTR 得到实质性的保障;
分钟级甚至秒级的事件响应!
五、总结
目前雾帜智能 HoneyGuide SOAR 产品已经实现支持联动国内外主流威胁情报系统,包括:微步在线、腾讯威胁情报、VirusTotal、微软 SRC、奇安信威胁情报(沙箱)、Scamalytics、守望者 (watcherlab) 威胁情报 Feed 系统、alieVault 开源威胁情报等,并且还在持续扩充中。
SOAR + 威胁情报,应急响应 SOAR Easy!
雾帜智能:
雾帜智能自 2019 年成立以来始终坚持在 SOAR 领域持续创新,专注于网络安全技术和产品的自主研发为核心,秉承 “充分运用人工智能和自动化技术,为智能安全运营提供创新的技术和产品” 的企业使命,为客户提供高质量的产品和服务。同时,雾帜智能以先发产品的优势、点纵横的市场打法和持续创新的自我突破,使得公司在 SOAR 市场始终保持遥遥领先的位置。目前公司已形成了以上海为总部,覆盖北京、广州、深圳、济南、合肥杭州、武汉、成都等地的全国性服务支撑体系,并构建了强大的合作伙伴与渠道营销体系;客户已覆盖金融、运营商、能源、烟草、汽车制造等行业。
微步在线
微步成立于 2015 年,是数字时代网络安全技术创新型企业,专注于精准、高效、智能的网络威胁发现和响应,开创并引领中国威胁情报行业的发展,提供 “云 + 流量 + 端点” 全方位威胁发现和响应产品及服务,帮助客户建立全生命周期的威胁监控体系和安全响应能力。
