安全编排自动化响应SOAR项目实践经验总结 | 安全运营优化篇
2024-4-17 20:37:25 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

闲谈:

SOAR项目的正式投产已有几个月,除了对运行中的剧本优化以外,也新增加了一些剧本。在运营过程中发现,合理的运用一些技巧,不但可以加速剧本编排的速度、降低编排难度,还可以使后续运营维护工作量大幅减少。这里总结了一些技巧,希望能给大家在剧本编排上带来一些新的思路、启发,带来一些价值,让工作更轻松一些。

Ps:网上已有许多介绍SOAR的文章,下文中包含部分名词,可自行百度、或翻看前期经验总结。

一、背景

在项目前期,为了体验各SOAR产品剧本编排功能和后续可能的投入学习成本,在培训产品后,独立完成了互联网高危事件自动处置、安全事件应急响应编排两个场景:

场景一、互联网高危事件自动处置场景(以下简称“高危事件处置”)

场景描述:高危事件处置场景在日常工作中会高频出现,要求在短时间内处置,需要处置人员具备一定安全经验,在处置工作的部分环节,需要频繁登陆态势感知、WAF、威胁情报、流量分析、主机安全、资产表、防火墙等系统,有时候需要查看通讯录、业务服务器白名单等多个表格,具有操作琐碎、繁杂的特点。

剧本设计:接收上游设备告警,对告警进行去重、归并,分析安全事、收集情报信息、会同部门同事研判、开展处置工作。

剧本逻辑图

大家看着处置逻辑简单是吧:-) ,在逻辑图中,类似找人找资产、拉群沟通、通知、获取汇总情报、获取归属地信息、研判、封禁等处置动作、流程,重复出现多次,我们看看剧本实现后的样子。

剧本设计图

剧本实现过程中,剧本设计、设备对接等工作,还算可以相对快速的完成(新手这个程度感觉已经不错了^_^!),可以实现高效处置高危事件,可以达到预期效果。但在使用过程中发现,在维护、优化剧本时,会需要花费一些时间,如果考虑到SOAR产品正式上线后,还将会有大量工作进行编排剧本,维护工作可能也是一个耗时、头痛的事情。

场景二、安全事件应急响应编排(与主题关系不大,可绕行)

这个场景用于项目前期验证产品能力,考察SOAR类产品的学习成本、剧本编排便利性、系统日常运营和维护便利性。本文用于总结兼顾分享,所以做了保留没有删除。

二、剧本设计需要改进的问题

在实际工作中,攻击手段多样化,不但原有剧本需要不定期维护,还会不断将新的处置流程、经验沉淀为剧本。自动化各种安全事件处置流程、提高事件处置效率的同时,SOAR系统的剧本数量、对接设备也会不断累积增加。虽然剧本中处置的事件不同,但在告警通知、信息收集、研判、处置等环节中存在大量的重复、类似的操作,这些反映在剧本上,会存在大量、相似的处置逻辑。

以“高危事件处置”场景为例,我们在原有剧本的基础上,对高频出现、重点关注的攻击类型,增加了有针对性的处置剧本:

1.由外到内发起的攻击事件处置:

增加对web攻击大类的事件、扫描&漏洞利用事件处置剧本;对webshell事件增加单独处置流程;其他没有列举到的事件,统一归口到“其他事件”处置剧本中。

2.由内到外发起的攻击事件处置

重点对外链事件做了处置剧本,其他没有列举到的、从内向外的事件,统一归口到“其他事件”处置剧本中。

到这里,大家结合上面的“高危事件处置”场景、剧本,是不是会发现,未来会出现一些情况:

  • 剧本将会越来越臃肿:每类事件对应一套处置流程,都写入到一个剧本中,剧本将会越来越臃肿,难度也会增加。
  • 剧本修改将会变复杂,容易出错。每个事件处置流程作为一个剧本,每个剧本的信息收集、通告、研判、处置流程有相似之处,同一台设备可能被多个剧本调用。在日常运营工作中,更换1个设备、调整1个处置预案,将会牵扯到修改多个剧本。比如,当上线新的威胁情报系统、调整封禁策略,就需要将所有调用威胁情报、包含封禁逻辑的剧本,全部修改一遍。
  • 剧本维护难度大幅增加:长时间使用SOAR系统,容易出现相似、临时用的剧本,维护不及时,很容易造成在执行剧本时调用错误,造成负面影响。

Ps:针对日常工作中,想要借助SOAR系统提高工作效率、快速响应,不但需要SOAR系统有灵活、丰富的编排功能,还需要有好的剧本设计思想配合。

三、解决办法

1、剧本编排优化思路

1)剧本设计模型化:定义安全事件处置模型、公司事件处置预案模型等适合公司特色的模型,在模型框架下,设计剧本,并充分考虑剧本的扩展性,满足不断增加的安全处置场景。举例:

a.定义安全事件处置模型,模型至少包括事件获取、情报收集、研判、处置、通告等事件处置阶段。在设计剧本时,先定义模型剧本(也可以叫主句本),再定义子剧本,每个阶段的工作可以由一个或多个子剧本完成。举例说明如下图所示:(剧本详见“优化思路应用剧本实例”)

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/es/398296.html
如有侵权请联系:admin#unsafe.sh