聊聊安全編排、自動(dòng)化與事件響應(yīng)技術(shù)
引言
隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈,企業(yè)和組織要在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集阻止、檢測(cè)、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。這種場(chǎng)景下往往需要設(shè)置某些編排機(jī)制,自動(dòng)實(shí)現(xiàn)多個(gè)設(shè)備或者服務(wù)間的協(xié)調(diào),來(lái)完成一系列的快速安全防護(hù)與事件響應(yīng)功能,即安全編排、自動(dòng)化與事件響應(yīng)(SOAR,Security Orchestration , Automation and Response)。
在國(guó)際上,美國(guó)、瑞士和德國(guó)等多個(gè)國(guó)家開(kāi)展了安全編排自動(dòng)化與響應(yīng)產(chǎn)品的研制,并得到了較好的應(yīng)用。反觀國(guó)內(nèi),還沒(méi)有出現(xiàn)專業(yè)的安全編排自動(dòng)化與響應(yīng)廠商,SOAR能力的獲得并非一朝一夕之功,需要深厚的安全運(yùn)維技術(shù)[1]積累。國(guó)內(nèi)的安全編排與自動(dòng)化技術(shù)還需進(jìn)一步深入研究。
一.NIST SP800-6: Computer Security Incident Handling Guide
2012年8月,美國(guó)NIST(National Institute of Standards and Technology)發(fā)布NIST SP800-61 Revision 2文件:Computer SecurityIncident Handling Guide[2]。
特別出版物800-61由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的信息技術(shù)實(shí)驗(yàn)室(ITL)推出,該標(biāo)準(zhǔn)通過(guò)提供有效、系統(tǒng)的事件響應(yīng)實(shí)用指南,來(lái)幫助組織減輕計(jì)算機(jī)安全事件帶來(lái)的風(fēng)險(xiǎn)。
該指南將事件響應(yīng)過(guò)程分為:準(zhǔn)備階段,檢測(cè)與分析階段,遏制、消除與恢復(fù)階段和事后處理階段。準(zhǔn)備階段包括建立和培訓(xùn)事件響應(yīng)團(tuán)隊(duì),以及獲取必要的工具和資源。在準(zhǔn)備期間,組織通過(guò)基于風(fēng)險(xiǎn)評(píng)估的結(jié)果,選擇并實(shí)施一組控制措施來(lái)限制事件的數(shù)量。但是,實(shí)施控制后,殘留風(fēng)險(xiǎn)將不可避免地存在。因此,必須在事件發(fā)生時(shí)檢測(cè)安全漏洞并向組織發(fā)出警報(bào)。根據(jù)事件警告的嚴(yán)重性,組織可以采取遏制措來(lái)施控制事件的影響,最終從事件中恢復(fù)。在此階段中,活動(dòng)通常循環(huán)回到檢測(cè)和分析階段。在事件得到適當(dāng)處理后,組織將發(fā)布一份報(bào)告,詳細(xì)說(shuō)明事件的原因和成本以及組織應(yīng)采取的預(yù)防未來(lái)事件的步驟。事件響應(yīng)生命周期如下:
圖:事件響應(yīng)生命周期圖
準(zhǔn)備階段:不僅要建立事件響應(yīng)能力,以便組織隨時(shí)準(zhǔn)備響應(yīng)事件,還要通過(guò)確保系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序足夠安全來(lái)預(yù)防事件。
在事件準(zhǔn)備過(guò)程中需要準(zhǔn)備好相應(yīng)的工具和資源,根據(jù)不同性質(zhì)的事件制定不同的處理機(jī)制。如果一個(gè)機(jī)制失敗,一個(gè)組織應(yīng)該具有多種溝通和協(xié)調(diào)機(jī)制,確保能夠?qū)崟r(shí)響應(yīng)。組織需要實(shí)施安全控制措施將事件數(shù)量保持在合理的范圍內(nèi)來(lái)保護(hù)組織的業(yè)務(wù)流程。事件響應(yīng)團(tuán)隊(duì)可能能夠識(shí)別組織原本不知道的問(wèn)題;通過(guò)檢測(cè)漏洞,團(tuán)隊(duì)可以在風(fēng)險(xiǎn)評(píng)估中發(fā)揮關(guān)鍵作用。
檢測(cè)與分析階段:組織應(yīng)準(zhǔn)備好處理任何事件,但應(yīng)著重于使用常見(jiàn)攻擊媒介的事件,對(duì)于不同類型的事件應(yīng)具有不同的響應(yīng)策略。
事件可能以無(wú)數(shù)種方式發(fā)生,因此不可能制定出處理每個(gè)事件的分步指示。組織通常應(yīng)準(zhǔn)備好處理任何事件,但應(yīng)著重于準(zhǔn)備處理使用常見(jiàn)攻擊媒介的事件。
事件響應(yīng)過(guò)程中最具挑戰(zhàn)性的部分是準(zhǔn)確地檢測(cè)和評(píng)估可能的事件。如果確定事件發(fā)生,需確定問(wèn)題的類型、程度和嚴(yán)重性。事件的跡象表現(xiàn)為先兆和指標(biāo),通過(guò)不同的來(lái)源來(lái)識(shí)別前兆和指標(biāo),其中最常見(jiàn)的是計(jì)算機(jī)安全軟件警報(bào)、日志、公開(kāi)可用的信息和人員。
事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)按照預(yù)先制定的流程迅速分析和驗(yàn)證每個(gè)事件,并記錄每個(gè)步驟。當(dāng)團(tuán)隊(duì)認(rèn)為事件已發(fā)生時(shí),團(tuán)隊(duì)?wèi)?yīng)迅速進(jìn)行初步分析以確定事件的范圍,例如受影響的網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用程序等。
懷疑事件已發(fā)生的團(tuán)隊(duì)?wèi)?yīng)立即開(kāi)始記錄有關(guān)該事件的所有事實(shí),可以使用日志、電腦、相機(jī)等工具。應(yīng)當(dāng)注意的是從發(fā)現(xiàn)事件到最終解決,每一步都應(yīng)記錄在案并加蓋時(shí)間戳。與事件有關(guān)的每個(gè)文件都應(yīng)由事件處理者注明日期并簽名以留證。
優(yōu)先處理事件可能是事件處理過(guò)程中最關(guān)鍵的決策點(diǎn),應(yīng)根據(jù)相關(guān)因素確定處理的優(yōu)先級(jí)。對(duì)事件分析并確定優(yōu)先級(jí)后,事件響應(yīng)團(tuán)隊(duì)需要通知適當(dāng)?shù)娜藛T,以便所有相關(guān)人員都發(fā)揮自己的職責(zé)。
遏制,消除和恢復(fù)階段:遏制為制定補(bǔ)救策略提供了時(shí)間,遏制策略根據(jù)事件的類型而變化。遏制事件后,可能有必要清除系統(tǒng)被破壞的部分,使系統(tǒng)恢復(fù)到正常的運(yùn)行狀態(tài)并防止以后發(fā)生類似事件。
大多數(shù)事件都需要遏制,遏制為制定補(bǔ)救措施提供了時(shí)間,遏制的一個(gè)重要部分是決策。提前制定適當(dāng)?shù)亩糁撇呗裕谑录l(fā)生時(shí)根據(jù)事件的類型選擇合適的策略,可以幫助更快的響應(yīng)突發(fā)事件。
遏制事件后,可能有必要消除系統(tǒng)被破壞的部分,例如刪除惡意軟件和禁用違規(guī)用戶帳戶,以及識(shí)別和處理漏洞。在消除期間,重要的是確定組織內(nèi)所有受影響的主機(jī),以便可以對(duì)其進(jìn)行修復(fù)。有些事件消除不是必需的,或者可以在恢復(fù)期間執(zhí)行。在恢復(fù)過(guò)程中,管理員將系統(tǒng)恢復(fù)到正常運(yùn)行狀態(tài),確認(rèn)系統(tǒng)正常運(yùn)行,并修復(fù)漏洞以防止發(fā)生類似事件。
在事件處理過(guò)程中,有時(shí)需要標(biāo)識(shí)攻擊主機(jī)。在法律訴訟時(shí)有可能會(huì)需要用到證據(jù),因此要清楚地記錄所有證據(jù)的保存方式,應(yīng)根據(jù)與法律人員先前討論中制定的適用于法律和法規(guī)的程序收集證據(jù),以便證據(jù)在法庭上受理。
事后處理階段:事件發(fā)生后應(yīng)當(dāng)舉行會(huì)議,回顧發(fā)生的事件,收集事件數(shù)據(jù),形成事故處理清單,對(duì)事件進(jìn)行客觀評(píng)估,保留相應(yīng)的證據(jù),防止事件再次發(fā)生。
事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)不斷學(xué)習(xí)改進(jìn)來(lái)發(fā)現(xiàn)新的漏洞。在重大事件發(fā)生后應(yīng)與相關(guān)方舉行“經(jīng)驗(yàn)教訓(xùn)”會(huì)議,這對(duì)改善安全措施和事件處理流程非常有幫助。一次會(huì)議可以涵蓋多個(gè)事件,會(huì)議通過(guò)回顧發(fā)生的事件、采取的干預(yù)措施以及干預(yù)效果來(lái)預(yù)防事件再次發(fā)生。會(huì)議應(yīng)在事件結(jié)束后的幾天內(nèi)舉行。
小結(jié):該標(biāo)準(zhǔn)從事件響應(yīng)的準(zhǔn)備階段,檢測(cè)與分析階段,遏制、消除和恢復(fù)階段和事后處理階段四個(gè)階段來(lái)闡述應(yīng)對(duì)安全事件的策略。該指南可以有效地對(duì)事件的全生命周期進(jìn)行管理,為我們處理安全事件提供了很好的理論基礎(chǔ)。
二
SOAR:安全編排與自動(dòng)化響應(yīng)技術(shù)
2015年,Gartner首次提出SOAR概念,將其定義為一種對(duì)利用機(jī)器讀取的、有狀態(tài)的安全數(shù)據(jù)提供報(bào)告、分析和管理的能力資源,為整個(gè)運(yùn)營(yíng)安全團(tuán)隊(duì)提供支持。當(dāng)時(shí)SOAR被定義為安全運(yùn)維分析與報(bào)告(Security Operations , Analytics, Reporting, SOAR),可以看出SOAR對(duì)安全數(shù)據(jù)和事件分析的能力已經(jīng)開(kāi)始展現(xiàn)。隨著SOAR市場(chǎng)的逐步成熟,2017年Gartner[3]對(duì)SOAR進(jìn)行了全新的概念升級(jí),將SOAR定義為安全編排自動(dòng)化與響應(yīng)(Security Orchestration Automation and Response, SOAR)。這個(gè)時(shí)期SOAR被定義為使組織能夠收集不同來(lái)源的安全威脅數(shù)據(jù)和告警的技術(shù),這些技術(shù)利用人工與機(jī)器的組合來(lái)執(zhí)行事件分析和分類,從而根據(jù)標(biāo)準(zhǔn)工作流幫助定義、確定優(yōu)先級(jí)并推動(dòng)標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)。此時(shí)的SOAR將安全編排和自動(dòng)化(Security Orchestration andAutomation, SOA)、安全事件響應(yīng)平臺(tái)(Security Incident Response Platforms , SIRPs)和威脅情報(bào)平臺(tái)(Threat Intelligence Platforms, TIPs)這三種技術(shù)相融合。融合后的SOAR技術(shù)在內(nèi)生性功能不斷發(fā)展的同時(shí),供應(yīng)商也利用其平臺(tái)不斷增加SOAR的新功能,囊括了很多SOAR提出之初不曾涉及到的領(lǐng)域,使SOAR的解決方案被嵌入到更大的應(yīng)用領(lǐng)域[5]。可以看出,2019年后SOAR的發(fā)展路徑將由SOC優(yōu)化、威脅檢測(cè)和響應(yīng)、威脅調(diào)查和響應(yīng)以及威脅情報(bào)管理來(lái)驅(qū)動(dòng)。該技術(shù)的功能是使企業(yè)組織的安全團(tuán)隊(duì)能夠收集監(jiān)控?cái)?shù)據(jù),例如警報(bào),并能夠部分自動(dòng)化地分析和處理事件,幫助安全人員根據(jù)預(yù)定義的工作流,確定優(yōu)先級(jí)并推動(dòng)標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)[7]。
目前SOAR的三大核心技術(shù)能力分別是安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)、威脅情報(bào)平臺(tái)。
安全編排與自動(dòng)化是SOAR的核心能力和基本能力。安全編排是指將各種網(wǎng)絡(luò)服務(wù)單元進(jìn)行有序的組織和安排,使各種服務(wù)平衡協(xié)調(diào)地完成用戶的某個(gè)需求。
安全編排通過(guò)劇本(Playbook)進(jìn)行表述,并通過(guò)工作流引擎支撐劇本執(zhí)行。劇本是面向編排管理員的,使其聚焦于編排安全操作的邏輯本身,而隱藏了具體連接各個(gè)系統(tǒng)的編程接口及其指令實(shí)現(xiàn)。安全自動(dòng)化[4]是指自動(dòng)化的編排過(guò)程,可以大大減少手動(dòng)操作的時(shí)間。SOAR通常通過(guò)應(yīng)用(App)和動(dòng)作(Action)機(jī)制來(lái)實(shí)現(xiàn)可編排指令與實(shí)際系統(tǒng)的對(duì)接。
安全事件響應(yīng)平臺(tái)是SOAR的關(guān)鍵功能,可獨(dú)立于SOAR存在。安全事件響應(yīng)與安全編排與自動(dòng)化的結(jié)合使得響應(yīng)的能力獲得了極大的提升。安全事件響應(yīng)包括告警管理、工單管理、案件管理等功能。其中,作為核心能力的案件管理功能幫助用戶對(duì)一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置。
威脅情報(bào)平臺(tái)通過(guò)對(duì)多源威脅情報(bào)的收集、關(guān)聯(lián)、分類、共享和集成,以及與其它系統(tǒng)的整合,協(xié)助用戶實(shí)現(xiàn)攻擊的阻斷、檢測(cè)和響應(yīng)。此外,隔離跟修復(fù)也是響應(yīng)之后一個(gè)重要操作,包括文件隔離、文件刪除、進(jìn)程網(wǎng)絡(luò)隔離、進(jìn)程殺死/阻塞、進(jìn)程隔離和基于哈希的阻止等。
目前國(guó)際上已經(jīng)出現(xiàn)了很多SOAR專業(yè)廠商,很多SIEM大廠也紛紛收購(gòu)并整合SOAR公司。例如:微軟收購(gòu)Hexadite,Splunk收購(gòu)Phantom等。
國(guó)內(nèi)對(duì)于安全事件的檢測(cè)與告警的產(chǎn)品或算法種類很多,應(yīng)用場(chǎng)景也非常廣泛,在一個(gè)場(chǎng)景下往往需要多種安全產(chǎn)品來(lái)解決安全事件,目前各單位和公司采用的網(wǎng)絡(luò)安全建設(shè)主流方案為部署大量的基于單點(diǎn)工作機(jī)制的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。網(wǎng)絡(luò)安全技術(shù)之間的整合度低、聯(lián)動(dòng)性不強(qiáng)使得在應(yīng)對(duì)網(wǎng)絡(luò)安全事件時(shí)不能高效率的處理事件。而且,安全操作仍然主要依賴手動(dòng)創(chuàng)建和維護(hù)基于文檔的操作過(guò)程,這將導(dǎo)致較長(zhǎng)的分析師入職時(shí)間、陳舊的過(guò)程流程、群組知識(shí)和執(zhí)行操作功能中的不一致性等問(wèn)題。而SOAR技術(shù)因?yàn)榫哂卸ㄖ苹㈧`活化、聯(lián)動(dòng)化的特點(diǎn),可以將人員和流程編排在一起,從而解決設(shè)備孤立技術(shù)正合度低,人力不足且經(jīng)驗(yàn)難以固化的問(wèn)題[6]。
小結(jié):SOAR通過(guò)安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)、威脅情報(bào)平臺(tái)功能推進(jìn)標(biāo)準(zhǔn)化的事件自動(dòng)響應(yīng)活動(dòng)。SOAR技術(shù)為安全事件響應(yīng)提供了未來(lái)的發(fā)展方向,值得我們進(jìn)行深入研究。
參考文獻(xiàn):
[1]劉學(xué). 新形勢(shì)下的網(wǎng)絡(luò)信息安全運(yùn)維[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2020(1):7-8
[2]Cichonski P, Millar T, Grance T, et al. Computer securityincident handling guide[OL].[2020-09-09].https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
[3]Gartner says detection and response is topsecurity priority for organizations in 2017[OL].[2020-05-15].https://www.gartner.com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017
[4]Ohmori M. On Automation and Orchestration of an InitialComputer Security Incident Response by Introducing Centralized IncidentTracking System[J]. Journal of Information Processing,2019,27:564-73
[5]Claudio Neiva, Craig Lawson, Toby Bussa, Gorka Sadowsi,Market Guide for Security Orchestration, Automation and Response Solutions. GartnerReport, 27 June 2019
[6]網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列白皮書—安全編排與自動(dòng)化響應(yīng)(SOAR)
【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)聯(lián)系原作者】
