基于安全編排的自動化安全運營處置系統研究

薛 亮 周 飛 段 煉

中國移動通信集團江蘇有限公司

0 引言

近年來安全威脅發生了很大變化，APT（高級持續性威脅）攻擊事件、新興威脅日益增加。依據現有規則、關聯分析等技術進行安全風險識別分析與防控已越來越難以滿足未來的發展趨勢。隨著IT技術和環境的變化，信息安全已經完成了保密通信信息、全面動態防護、構建可信系統三個階段的發展，現已逐步向以安全編排為核心的自動化處置與響應階段過渡。當前的安全技術發展趨勢是，須充分利用自動化處置技術，結合安全編排能力，構筑自動化平臺，提供以自動化&安全編排為核心，匯聚和構建不同場景的安全運營能力，為前端業務運營提供按需定制的安全服務，實現“整合安全資源組件、沉淀安全業務場景”，為安全能力服務的快速交付與運營提供支撐，降低人工風險排查成本，提升安全縱深防御能力，構建智慧、主動的立體安全體系。

研究小組鑒于對以上的安全形勢、安全技術發展趨勢分析，確定采用近年安全行業發展較為迅速的SOAR（安全編排與自動化響應）技術理念，研究探索并打造基于安全編排的自動化安全運營處置系統，作為安全處置的控制樞紐，其具備自動化的安全分析、安全處置、安全運營能力，上接各類安全數據源如大數據分析平臺、態勢平臺、SIEM（安全信息和事件管理）平臺，下接各種安全基礎系統、工單運維系統，快速完成安全運營處置自動化流程定制，支撐各業務系統對安全處置業務能力的需求，并在多個安全響應場景中進行應用。

1 總體設計

自動化安全運營處置系統為安全業務處置提供便利的編排能力，可以根據安全業務場景完成流程定制。通過自動處置流程引擎將自動化能力貫穿到安全分析、安全處置、安全運營體系中，并對執行過程、執行結果進行管理，節省時間、人力、成本，也避免人在處理大量數據的過程中帶來的誤差或失誤[1]。針對未知安全事件能夠統一協調相關人員通過各類自動化工具完成安全事件生命周期的統一處置?？傮w來說，通過研究并構建自動化的安全運營處置系統，拉通了人、設備與流程之間的關系，建立了長效的安全處置機制。

系統總體邏輯架構如圖1所示。

圖1 總體邏輯架構

系統的總體功能架構如圖2所示。

圖2 總體功能架構

安全場景編排是自動化編排與響應系統的核心能力，主要包括設備插件管理、自動化腳本、劇本可視化編排三大類主要能力：

（1）插件管理負責配置管理各類安全組件，根據實際安全需求動態對接管理安全設備，如防火墻、防病毒、WAF等安全設備。通過配置、管理、對接安全設備的具體指令，如任務下發接口、指令下發接口等，實現安全設備聯動。

（2）自動化腳本是業務邏輯實現的最小單元，通過腳本可以實現參數類型轉換、負載優化算法、業務邏輯判斷等具體算法。

（3）劇本是對腳本、插件編排的具體描述，用來定義安全事件響應的具體流程、步驟。

安全事件處理不僅要應對已知威脅，同時針對未知的安全事件需要協調處理管理功能。針對未知的安全事件引入案件管理概念，對接受到新的未知安全事件統一轉化為案件，進行人工處理。并能夠針對案件進行經驗總結并編寫對應的處置劇本，為相同的事件提供統一的自動化處理流程。

基于安全編排的自動化安全運營處置系統的數據流如圖3所示。

圖3 安全運營處置系統數據流向示意

自動響應處置需要依賴自動化的引擎，對應著可視化編排的劇本和自動化的腳本，需要分別有相應的引擎對其解釋并運行：

（1）自動化流程引擎

自動化流程引擎作為工作流的實際執行者，接受自動化安全劇本，解析安全劇本，解釋劇本中描述的流程信息，生成自動化任務并完成自動化執行：①自動化劇本執行：按照預設場景自動執行預制的響應劇本，安全告警事件關聯編排劇本并執行；②劇本執行過程監控：監控劇本的任務執行情況，包括劇本所有步驟節點的執行狀態情況，包括流程執行內容、日志等信息，方便及時解決劇本執行過程中出現的問題。

（2）自動化腳本引擎

自動化腳本引擎作為自定義腳本的實際執行者，能夠接受安全劇本節點中的腳本，在腳本流程任務中解釋、執行腳本程序與指令：①接受執行自定義腳本，自定義腳本采用解釋方式運行，無需編譯，隨時修改隨時失效，便于安全運營人員根據安全需求隨時進行調整；②支持Python腳本語言，不論開發人員、運維人員、安全運營人員都可快速掌握。

2 安全事件處置場景自動化

在整個安全告警事件處置場景的過程中，需要有準確的資產信息，研究小組將安全運營處置系統與資產管理系統進行數據同步，為所有資產信息提供可靠的數據來源，自動增加和更新資產信息庫[2]。

劇本編排作為安全運營處置系統的核心功能，通過分析安全事件分析、處置的需求，研究小組根據不同場景建立了多個劇本，將安全事件處置流程的業務邏輯進行串聯，極大提高了本單位安全運營處置的工作效率。具體如下：

2.1 場景1：高級威脅分析

威脅分析是所有企業安全運營工作團隊在安全事件響應期間執行的首要任務之一。這里的挑戰是雙重的，首先了解全面的威脅信息指標需要跨平臺調用不同的工具，其次威脅分析的結果需要及時傳遞給各防護組件以便及時更新各防護組件的指標、策略庫來阻止重復的攻擊。安全編排劇本可以通過查詢不同的威脅情報工具來自動豐富指標。通過在事件響應開始時運行這個劇本，企業的安全運營人員可以在幾秒鐘內獲得豐富的數據進行研究，從而避免人工逐個訪問各個安全防護組件查詢信息所浪費的時間，同時能夠將分析結論及時更新各監視列表和威脅數據庫[3]。高級威脅分析自動化劇本如圖4所示。

圖4 高級威脅分析自動化劇本

劇本說明：（1）獲取流量原始日志解析提取流量信息；（2）對威脅攻擊指標進行補充，使用多種威脅情報工具豐富實體的詳細信息。例如，使用威脅情報工具來豐富URL信息，使用DNS服務來豐富IP信息，并使用威脅情報工具和沙箱等惡意軟件分析工具來豐富文件信息；（3）根據各項威脅攻擊指標判斷是否為惡意流量；（4）更新情報庫，劇本基于標識的惡意動作初始響應動作。例如，將惡意指標反饋到威脅情報數據庫和工具監控列表中，以避免攻擊。

2.2 場景2：惡意流量處置

面對未知威脅、APT攻擊，傳統防御體系仍然適用，但效果有限，在整個處置環境中需要充分協調分析、處置等環節才能做到有效防護。安全編排劇本可以將流量分析工具、沙箱驗證、防火墻/IPS等工具融合到同一流程中，減少安全運營人員工作量，加快響應速度。惡意流量處置劇本如圖5所示。

圖5 惡意流量處置劇本

劇本說明：（1）劇本可以從各種來源獲取數據，如SIEMs、流量監測設備；（2）對流量進行檢測分析，并對原始數據進行補充豐富；（3）判斷是否為惡意流量，生成封堵策略安全人員確認；（4）調用網絡工具完成封堵并驗證封堵效果。

2.3 場景3：可疑文件分析

事件響應過程中的一個重要調查步驟是在沙箱中進行可疑文件的分析，但是，由于惡意軟件分析工具與其他安全產品是獨立的，安全分析人員在執行這項重復任務的同時還要在各個控制臺之間進行協調，這對他們來說是一種負擔。將結果粘貼到另一個控制臺進行文檔記錄也非常耗時，并且增加了出錯的幾率。安全編排劇本可以將整個文件調查過程自動化，既可以作為一個獨立的工作流，也可以與其他工具協同工作。這確保了分析人員不會浪費時間執行活動，能夠從劇本流程的分析結果中獲益，并且由于劇本在核心控制臺記錄所有操作的結果，因此也不需要事后手動記錄操作過程，極大提高可疑文件分析的效率。可疑文件分析劇本如圖6所示。

圖6 可疑文件分析劇本

劇本說明：（1）劇本可以從各種來源獲取數據，如SIEMs、郵箱、威脅情報源和惡意軟件分析工具；（2）從獲取的數據中提取需要調查的惡意文件；（3）將調查文件上傳文件到惡意軟件分析工具進行調查和生成報告；（4）如果發現文件是惡意文件，則劇本會使用該信息更新相關的監視列表/黑名單。從這里開始，劇本可以擴展到其他操作，例如隔離受感染的端點，以及協調來自其他第三方威脅源的數據。

2.4 場景4：惡意軟件感染場景

終端保護是事件響應的關鍵部分，安全運營團隊經常需要在端點工具和其他安全工具之間進行協調，同時打開多個控制臺，并花費寶貴的時間執行重復的手動處置工作。安全編排劇本可以將態感知平臺和端點工具之間的流程統一到一個工作流中，在將分析人員引入重要決策和調查活動之前自動執行需要重復操作的步驟。

面對越來越多的勒索軟件，以及越來越多的定向攻擊APT，傳統的病毒碼已經無法抵御勒索軟件等APT的威脅，可以結合可疑文件分析劇本與惡意文件處理劇本來建立一套勒索軟件及定向攻擊APT分析處置流程[4]。惡意軟件處理劇本如圖7所示。

圖7 惡意軟件處理劇本

劇本說明：（1）劇本從各種來源獲取數據，如SIEMs、惡意軟件分析工具、終端防病毒工具；（2）調用可疑文件分析自劇本進行文件驗證；（3）查詢感染主機；（4）隔離主機、主機殺毒處理、主機加固。

2.5 場景5：漏洞管理場景

漏洞管理涵蓋了各種主動和被動的安全操作，安全運營團隊經常無法成功地跨環境關聯數據，需要花費太多時間來統一上下文，而沒有足夠的時間來補救漏洞。在將控制權交給分析師進行手動修復之前，安全編排劇本可以自動充實漏洞信息和增加漏洞上下文。通過確保分析人員的時間不是花在執行重復的任務上，而是花在做出關鍵的決策和推斷上，從而保持自動化和手動過程之間的平衡[5]。漏洞管理劇本如圖8所示。

圖8 漏洞管理劇本

劇本說明：（1）驅動漏掃工具完成資產漏洞掃描任務；（2）獲取漏掃結果；（3）通過相關工具豐富漏洞信息，如資產信息；（4）通過漏洞管理工具查詢與該漏洞相關的信息，后果和補救措施；（5）將通知相應安全分析或運維人員進行手動調查和修復漏洞；（6）修補效果驗證。

2.6 場景6：惡意郵件處置場景

郵件系統連接互聯網，隨著辦公業務的發展及人員的擴充，郵件服務的穩定性和安全性愈發重要。釣魚郵件是最常見的、最容易執行的、最有害的安全攻擊之一。超過90%的數據泄露都是從網絡釣魚郵件開始的，因此潛在的經濟損失是真實存在的。安全分析師在應對網絡釣魚攻擊時面臨諸多挑戰，例如，如何在不耗盡精力的情況下處理攻擊事件；如何避免在多個屏幕之間頻繁切換進行快速分析與響應；如何在完成日常處置任務時避免人為錯誤；如何進行快速報告輸出等，都是令人擔憂的問題。安全運營處置系統可以使用“網絡釣魚劇本”，以快速執行重復的任務，識別誤報，并與郵件防護系統進行對接聯動、協同，進行標準化的網絡釣魚郵件響應[6]。惡意郵件處理流程劇本如圖9所示。

圖9 惡意郵件處理流程劇本

劇本說明：（1）發起漏掃任務（漏掃工具漏掃任務接口）；（2）獲取漏掃結果（漏掃工具結果查詢接口）；（3）匯總漏掃信息以及補救措施（漏洞管理庫查詢接口、補丁下載接口）；（4）確認漏掃結果；（5）生成整改工單發送整改人（工單系統工單接口）；（6）整改完成負責人確認；（7）完結歸檔。

安全運營處置系統目前具備這6類場景的自動處置劇本，具備穩定的性能、可靠的安全性、擴展性和可管理性。在事件響應管理方面，通過預定義的調查模式自動聚合事件、告警和相關的上下文信息；在安全編排方面，使用自動化，例如，告警的上下文豐富、通過集成和聯動其他安全響應能力；在威脅搜索方面，支持匹配搜索日志，事件，網絡數據包，網絡會話；在與第三方系統的集成方面，支持與第三方系統的集成以支持工作流和自動化功能，例如API，Web調用等。

安全運營處置系統已應用在我司網絡安全運營與防護的工作過程中，對于運營效率提升明顯。

（1）實施前流程中日均上萬條威脅數據必須依靠人工的甄別方式進行分析和處置，即便分類處置，仍然工作量巨大。實施后依據劇本定制的快捷優勢，對于大多數的安全威脅風險無需人工甄別和處置風險，全天候自動快速準確處置威脅。

（2）實施前處置流程定制化設備接入和處置流程平均每流程需花費較多的研發、測試的工作量，流程上線后任何需求變更也要經過開發、測試、上線等階段，時間也較為冗長。研究小組通過安全運營處置系統的自動化編排和處置能力，可以在短時間內完成設備的接入和自動化流程劇本編制、處理時間可達到小時級完成，定制化成本大幅縮減。

（3）實施前處置流程較為粗礦，只能針對較寬泛的類別對威脅進行處置，實施后的每一類威脅均可快速定義劇本，根據劇本精準處理威脅。

（4）安全運營處置系統每天精準自動化處置安全威脅上萬條。除了已知安全事件，針對未知的安全事件引入案件管理概念，對接受到的未知安全事件統一轉化為案件，進行人工處理，編寫對應的處理劇本，大幅增加未知風險的甄別能力。

3 結束語

研究小組通過SOAR（安全編排與自動化響應）技術的深入研究探索，結合實際安全運營工作場景進行應用探索，有效解決了安全工作中的一些長期存在的痛點、難點安全問題，同時也大幅提高安全運營工作的效率。基于當前的研究成果與進一步的技術研究，研究小組認為，未來可以進一步研究探索利用自動化的安全運營處置系統，將其作為關鍵的能力聚合樞紐，做到企業各安全平臺原子化能力的整合以及實現企業開放的安全能力運營中心（SOC）[7]。