浅谈安全编排、自动化和事件响应技术

引言随着网络安全攻防对抗的日益激烈，企业和组织应在网络已被攻击的前提下构建预防、检测、响应和预防一体化的新体系。攻击。保安系统。在这种场景下，往往需要设置一些编排机制，自动实现多个设备或服务之间的协同，完成一系列快速的安全防护和事件响应功能，即SecurityOrchestration、Automation和EventResponse（SOAR，Security编排、自动化和响应）。国际上，美国、瑞士、德国等多个国家都开展了安全编排自动化和响应产品的研发，并得到了很好的应用。相比之下，国内还没有专业的安全编排自动化和响应厂商。SOAR能力的获得不是一蹴而就的，需要深厚的安全运维技术积累[1]。国内安全编排和自动化技术需要进一步深入研究。1.NISTSP800-6：计算机安全事件处理指南2012年8月，美国NIST（美国国家标准与技术研究院）发布了NISTSP800-61Revision2文件：计算机安全事件处理指南[2]。特别出版物800-61由美国国家标准与技术研究院(NIST)的信息技术实验室(ITL)发布，旨在通过为有效和系统的事件响应提供实用指南来帮助组织减轻计算机安全事件的影响。风险。该指南将事件响应过程分为：准备阶段、检测分析阶段、遏制、消除和恢复阶段、事后处理阶段。准备阶段包括建立和培训事件响应团队，以及获取必要的工具和资源。在准备期间，组织通过根据风险评估的结果选择和实施一组控制来限制事件的数量。但是，实施控制后，不可避免地存在残余风险。因此，当务之急是检测安全漏洞并在事件发生时向组织发出警报。根据事件警告的严重性，组织可以采取遏制措施来控制事件的影响并最终从事件中恢复。在此阶段，活动通常会循环回到检测和分析阶段。事件得到妥善处理后，组织将发布一份报告，详细说明事件的原因和成本，以及组织为防止未来事件发生应采取的步骤。事件响应生命周期如下：图：事件响应生命周期图准备阶段：不仅要构建事件响应能力，使组织做好响应事件的准备，还要通过确保系统、网络和应用程序足够安全来预防事件发生.在事件准备过程中，需要准备相应的工具和资源，针对不同性质的事件制定不同的处理机制。如果一个机制失效，组织应该有多个沟通和协调机制来确保实时响应。组织需要实施安全控制以将事件数量保持在合理的范围内，从而保护组织的业务流程。事件响应团队可能能够识别组织原本没有意识到的问题；通过检测漏洞，团队可以在风险评估中发挥关键作用。检测和分析阶段：组织应该准备好处理任何事件，但应该关注使用常见攻击向量的事件，并对不同类型的事件有不同的响应策略。事件可以以无数种方式发生，因此不可能制定出处理每个事件的分步说明。组织通常应准备好处理任何事件，但应重点关注准备处理使用常见攻击媒介的事件。事件响应过程中最具挑战性的部分是准确检测和评估可能发生的事件。如果确定事件已经发生，则需要确定问题的类型、范围和严重性。事件的迹象显示为前兆和指标，可通过不同来源识别，其中最常见的是计算机安全软件警报、日志、公开信息和人员。事件响应团队应按照预先建立的流程快速分析和验证每个事件，记录每个步骤。当团队认为事件发生时，团队应迅速进行初步分析，以确定事件的范围，例如受影响的网络、系统或应用程序等。怀疑事件发生的团队应立即开始记录所有事实关于事件，使用日志、计算机、相机等工具。应该注意的是，从发现事件到最终解决的每个步骤都应记录在案并加盖时间戳。与事件相关的每份文件都应注明日期并由事件处理人员签名。确定事件的优先级可能是事件处理过程中最关键的决策点，应根据相关因素确定优先级。一旦对事件进行了分析并确定了优先级，事件响应团队就需要通知相关人员，以便所有相关人员都能尽到自己的职责。遏制、消除和恢复阶段：遏制为制定补救策略提供了时间，补救策略因事件类型而异。在控制事件后，可能需要清理系统的受损部分，以将系统恢复到正常运行状态，并防止将来发生类似事件。大多数事件都需要遏制。收容为制定补救措施提供了时间。遏制的一个重要部分是决策。提前制定合适的遏制策略，在事件发生时根据事件类型选择合适的策略，有助于更快地应对突发事件。在遏制事件后，可能有必要消除系统的受损部分，例如删除恶意软件和禁用违规用户帐户，以及识别和解决漏洞。在消除过程中，重要的是要识别组织内所有受影响的主机，以便可以修复它们。有些事件消除不是必需的，或者可以在恢复期间执行。在恢复过程中，管理员将系统恢复到正常运行状态，确认系统正常运行，修复漏洞，防止类似事件的发生。在事件处理过程中，有时需要识别攻击主机。法律诉讼可能需要证据，因此请清楚记录如何根据先前与法律人员讨论中制定的适用法律和法规保存和收集所有证据，以便证据在法庭上被采纳。事后处理阶段：事件发生后召开会议，对事件进行回顾，收集事件资料，形成事件处理清单，对事件进行客观评估，并保留相应证据，防止事件再次发生。事件响应团队应不断学习和改进以发现新的漏洞。重大事件发生后，应与有关各方召开“经验教训”会议，这对改进安全措施和事件处理流程非常有帮助。一次会议可以涵盖多个事件，会议通过回顾已经发生的事件、采取的干预措施以及干预措施的效果来防止事件再次发生。会议应在事件发生后的几天内举行。概要：本标准从事件响应准备阶段、检测分析阶段、遏制、消除和恢复阶段、事后处理阶段四个阶段描述了安全事件的处理策略。该指南可以有效管理事件的全生命周期，为我们处理安全事件提供了良好的理论依据。2.SOAR：安全编排和自动响应技术2015年，Gartner首次提出SOAR的概念，将其定义为一种能够报告、分析和管理机器可读的、有状态的安全数据的资源，为整个操作提供安全保障。团队提供支持。当时，SOAR被定义为SecurityOperations,Analytics,Reporting,SOAR（安全运营、分析、报告、SOAR）。可见，SOAR对安全数据和事件的分析能力已经开始显现。随着SOAR市场的逐渐成熟，2017年Gartner[3]对SOAR进行了全新的概念升级，将SOAR定义为安全编排自动化和响应（SOAR）。这一时期的SOAR被定义为使组织能够从不同来源收集安全威胁数据和警报的技术，使用人和机器的组合来执行事件分析和分类，从而帮助根据标准工作流事件响应定义、确定优先级和推动标准化活动。此时，SOAR集成了三种技术：安全编排和自动化（SOA）、安全事件响应平台（SIRP）和威胁情报平台（TIP）。在集成SOAR技术的内生功能不断发展的同时，供应商也利用自己的平台不断增加新的SOAR功能，覆盖了很多SOAR最初提出时没有涉及的领域，使SOAR解决方案可以嵌入更大的领域应用[5]。可以看出，2019年后SOAR的发展路径将由SOC优化、威胁检测与响应、威胁调查与响应、威胁情报管理驱动。该技术的功能是使企业组织的安全团队能够收集警报等监控数据，并部分自动分析和处理事件，帮助安全人员确定优先级并根据预定义的工作流程推动标准化的事件响应活动[7]].目前SOAR的三大核心技术能力是安全编排与自动化、安全事件响应平台、威胁情报平台。安全编排和自动化是SOAR的核心和基础能力。安全编排是指对各种网络服务单元进行有序的组织和安排，使各种服务均衡、协调地满足用户的需求。安全编排通过剧本表达，并支持通过工作流引擎执行剧本。该脚本面向编排管理员，使其专注于编排安全操作本身的逻辑，同时隐藏了具体连接各个系统的编程接口及其指令实现。安全自动化[4]是指自动化编排过程，可以大大减少人工操作所花费的时间。SOAR通常通过应用程序（App）和动作（Action）机制来实现可编程指令与实际系统的接口。安全事件响应平台是SOAR的关键功能，可以独立于SOAR存在。安全事件响应与安全编排和自动化相结合，大大提高了响应能力。安全事件响应包括告警管理、工单管理、案例管理等功能。其中，案例管理功能作为核心能力，帮助用户对一组相关告警进行流程化、持续性的调查、分析和响应。威胁情报平台通过对多源威胁情报的收集、关联、分类、共享和整合，以及与其他系统的集成，协助用户阻断、检测和应对攻击。此外，隔离和修复也是响应后的重要操作，包括文件隔离、文件删除、进程网络隔离、进程查杀/阻塞、进程隔离、基于hash的阻塞。目前全球已经出现了很多SOAR专业厂商，很多SIEM厂商也收购整合了SOAR公司。例如：微软收购了Hexadite，Splunk收购了Phantom等。国内安全事件的检测和告警的产品或算法种类繁多，应用场景也非常广泛。在一种场景下，往往需要多种安全产品来解决安全事件。目前，各单位和企业采用的网络安全建设主流方案是部署大量基于单点工作机制的网络安全防护产品。网络安全技术之间的集成度低、联动性弱，导致在应对网络安全事件时无法高效处置。此外，安全运营在很大程度上仍然依赖于手动创建和维护基于文档的操作程序，这导致分析师入职时间长、流程过时、团队知识以及执行操作能力的不一致。SOAR技术由于具有定制化、柔性化、联动化的特点，可以将人员和流程安排在一起，从而解决设备隔离技术对接度低、人力不足、经验难以固化等问题[6]。总结：SOAR通过??安全编排与自动化、安全事件响应平台、威胁情报平台功能，推动标准化事件自动响应活动。SOAR技术为安全事件响应提供了未来的发展方向，值得我们深入研究。参考文献：[1]刘雪．新形势下网络信息安全运维[J]．网络安全技术与应用2020(1):7-8[2]CichonskiP,MillarT,GranceT,etal.计算机安全事件处理指南[OL].[2020-09-09].https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf[3]Gartner表示检测和响应是顶级安全2017年组织的优先事项[OL].[2020-05-15].https://www.gartner.com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017[4]OhmoriM.关于通过引入集中式事件跟踪系统实现初始计算机安全事件响应的自动化和编排[J]。信息处理杂志，2019,27:564-73[5]ClaudioNeiva、CraigLawson、TobyBussa、GorkaSadowsi，安全编排、自动化和响应解决方案市场指南。GartnerReport,2019-06-27[6]网络安全先进技术与应用开发系列白皮书-安全编排与自动化响应（SOAR）【本文为专栏作者“中国保密协会科学技术分会”原创稿件，转载请注明出处转载联系原作者】点此查看该作者更多好文