其他
安全运营持续优化之路—— 基于ATT&CK+SOAR的运营实践
The following article is from 关键基础设施安全应急响应中心 Author 绿盟科技李璇
从时间上,攻击者处于先手位置;攻击者发起攻击了,防御者才有可能发现异常,并存在一定的滞后。 从空间上,攻击者是以点破面,只要找到一个脆弱性,即可发起甚至成功的攻击。而防御者需全面加固系统,封堵所有的风险点,而对于未知风险点,则无能为力。 从技术上,面对攻击者层出不穷的攻击技术,防御者无法提前准备检测和处置措施,进一步加宽了资产暴露的时间窗口。 就安全运营本身而言,也存在诸多问题。威胁信息和事件数量多、安全技术整合度低,人力不足经验难以固化,使得安全运营面临严峻挑战。
安全编排:将人和技术编入都编入业务流程中,即将不同设备或组件能力通过API和人工检查点,按照业务诉求编排成有序的执行逻辑块,创建手动或自动执行的工作流步骤。 自动化:是编排的一个子集,允许按照一定的条件关系,自动化的将一些安全能力集成起来。如果完全依赖于API实现,那么它就是自动化执行的。 响应:它在许多方面比传统的安全解决方案更有效。覆盖整个事件的生命周期—警报的生成、其验证、自动响应、策略分发、人工处置和报告等。
Investigative剧本:允许手动或自动的发现威胁及其上下文信息,可用于安全事件发生过程中或者后。如剧本接收到可疑告警,通过调查上下文、query威胁情报等,比对威胁artifacts,确定是否升级为事件。 Preventive剧本:保护系统免受已知威胁和可疑行为。这类剧本通过改变NF、IPS、AV、网关等策略,封堵恶意的IP、域名、文件、URL等。此外,补齐威胁相关的脆弱性补丁。 Mitigative剧本:以资产的视角,隔离失陷的用户、设备、应用等,封堵威胁,以防进一步渗透。封堵剧本,如将失陷主机移至其他网段或VLAN中做进一步排查。消除威胁后,回归工作网络。 Remediative剧本:通过选择性的纠正恶意的动作或者将设备回滚之已知安全状态,以此补救受影响的资产。这类剧本通常具有可立即执行的特点,而无需通知协商。
触发器:当触发条件被满足时,启动执行剧本。多个触发器可通过逻辑组合存在于单个剧本中,当某触发器被满足时,启动执行对应的动作; 环境条件:控制剧本的逻辑流。通常以块的形式条件,代表一组条件,如风险评分、IP地址、主机名、平台类型等。满足所有的条件时,才能执行动作; 动作:有序的任务集,如杀死进程、封堵ip、邮件通知或者其他的运营任务。任务流可以通过设置“审批门”暂停执行,而“审批门”需要人工干预才能运行后续任务。