基于SOAR技术的网络安全自动驾驶的研究.pdf

信息通信基于 SOAR技术的网络安全自动驾驶的研究汪有杰（中国电信安徽公司省云网运营中心，安徽合肥2 30 0 31）摘要：目前企业均具备了一定的网络安全攻击监测和防护处置能力。但在网络安全运营中，网络安全告警误报和漏报、安全子系统能力缺乏协同联动、安全事件分析研判处置依赖网络安全专家等问题依然突出。随着网络安全技术的发展和安全防护体系架构的演变，未来基于SOAR技术将是持续自适应安全防护和网络安全自动驾驶的基础。关键词：SOAR；编排；自动化响应；网络安全；自动驾驶中图分类号：TP311随着网络安全攻防对抗的日趋激烈，网络安全单纯指望防范和阻止的策略已经失效，必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。正是在这样的背景下，在国际上，检测和响应类产品受到了极大的关注。放眼国内，更多的注意力集中到了新型检测产品，尤其是未知威胁检测领域。借助这些产品和技术，用户获得了更低的MTTD（平均检测时间），能够更快更准确地检测出攻击和入侵。但是，这些产品和技术大都没有帮助用户降低MTTR（平均响应时间）。事实上，对于用户而言，更快地检测出问题仅仅是第一步，如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候，不能仅仅从单点（譬如单纯从端点或者网络）去考虑，还需要从全网整体安全运维的角度去考虑，要将分散的检测与响应机制整合起来。而这，正是SOAR要解决的问题。在企业网络安全运营过程中，企业通常面临以下痛点问题。一是网络安全告警误报和漏报。现有基于规则、行为的安全监测、防护设备监测产生误告警量大，同时部分社会工程学、APT等方式的攻击在安全监测设备上存在漏报。二是企业安全子系统能力缺乏协同、联动。安全子系统各自为战，联动性不足。三是安全事件分析、处置依赖安全专家，安全自动化运营能力不足。由于大量的误告警、漏报告警，安全子系统各自为战，不能有效统一，导致网络安全事件的监测、场景化处置完全依靠技术人员，安全事件监测和处置效率低，本文针对企业存在以上痛点问题，提出基于SOAR技术的网络安全自动驾驶，希望对我国网络安全防护事业持续、稳定的发展提供参考和借鉴。1 SOAR简介SOAR(Security Orchestration,Automation and Response),即安全编排自动化与响应，最早由Gartner于2 0 15年提出，能够将已有的安全技术和产品进行最大化的整合，实现安全运营中人、机器、流程的结合。SOAR在经过长达7 年的演变，经历了三个阶段。2 0 15年，Gartner将SOAR描述成为安全运维团队提供机器可读的安全数据报告和分析管理功能的产品。2017年，Gartner提出了“安全编排、自动化及响应”（SOAR)这个术语，用以描述脱胎于事件响应、安全自动化、场景管理和其他安全工具的平台。Gartner观察到三种以前截然不同的技术：安全编排和自动化（SOA）、安全事件响应平台（SIRPs）和威胁情报平台（TIPs），正在逐步融合到一起。2 0 19 年，Gartner提出SOAR是指能使企业组织从SIEM等系统中收集报警信息，或通过与其它技术的集成和自动化协调，提供包括安全事件响应和威胁情报等功能。收稿日期：2 0 2 3-0 2-19作者简介：汪有杰（19 8 1-），男，安徽安庆人，本科，工程师，研究方向网络安全自动化、网络安全渗透、网络攻击防护等。2023年第0 5期(总第2 45期)文献标识码：A文章编号：2 0 9 6-9 7 59(2 0 2 3)0 5-0 12 4-0 3力，通过剧本编排能力将组织的安全运营流程、规程结合到自身的工作流，组合各种复杂性研判流程和处理平台进行协调、决策，根据决策结果自动化执行剧本操作流程。SOAR的内容包含以下八个方面。(1)为以运营人员为根本。将团队协作为使命、以流程为基础、以编排为核心能力、自动化的处置手段、场景化的响应、实现效率提升的最终目标。(2)以运营人员为根本。SOAR强调以人为本。安全运营工作本质上是由安全运营团队开展安全运营活动构成的。SOAR的目的是为了使能安全团队，迅速、有效处置问题。网络安全的本质是对抗，而对抗最终都是人与人之间的对抗。（3)以团队协作为使命。安全运营工作中要让团队成员、技术和流程协同起来，强化团队协作。(4)以流程为基础。SOAR的目标就是为了落地安全流程的标准化、自动化、智能化。所以，必须先敲定自身的标准安全操作流程和规程。(5)以编排为核心能力。编排是SOAR的核心和最核心的能力。编排的过程就是把团队人员、流程、技术能力和各种工具整合到一起，服务于安全运营工作开展的过程。(6)自动化的处置手段。对自动化能力水平的高低，决定了SOAR安全编排所能发挥的价值。安全编排通过自动化的手段进行响应，以提升编排的执行效率。(7)场景化的响应。安全编排与自动化适用于安全运营防御、检测和响应的各个环节，可以根据不同场景指定不同的响应方式和响应内容，从而实现提升响应效率和有效性。(8)实现效率提升的最终目标。SOAR的最终目标是提升安全运营人员开展运营工作的效率，提升安全运营的效能。2网络安全自动驾驶探索2.1完善安全基础防护能力基于SOAR的网络安全自动驾驶以成熟、完善的安全基础防护能力为基础，构建基于SOAR的网络安全自动驾驶，首要完善安全基础防护能力。企业需要在四个方面完善安全基础防护能力。在网络层，企业互联网出入口边界处需部署防火墙、全流量、异常流量监测及清洗等安全监测和防护能力；在系统层，企业业务系统需部署终端杀毒软件、防火墙、EDR等安全监测和防护能力；在应用层，需部署蜜罐、WAF等安全监测和防护能力。同时，部署系统及WEB漏洞扫描器、堡垒机、统一日志管理、基线检查等安全支撑手段，实现业务系统常态化漏洞扫描、基线加固、安全运维。124SOAR从多方的数据来源获得输入，联动多种响应处置能Changjiang Information&Communications2.2网络安全体系架构顶层设计传统安全防御体系中，安全子系统各自为战，缺乏统一协同。在网络安全体系架构顶层设计上，构建安全子系统防护、分析等能力解耦的安全中台的安全体系架构，对下实现各安全原子能力的统一调用、安全数据的集中收集，对上提供安全原子能力编排、安全数据场景化分析。安全中台可分为安全数据中台和安全能力中台。安全数据中台通过大数据技术以及底层数据管理，完成企业各类安全数据、日志、告警的统一收集。安全能力中台实现企业各类安经验反馈固化汪有杰：基于SOAR技术的网络安全自动驾驶的研究全防护原子能力统一注册、封装、调用。通过数据中台实现数据的全汇集、通过能力中台实现安全原子能力的协同和调度。2.3基于SOAR网络安全自动驾驶2.3.1网络安全驾驶总体思路网络安全自动驾驶总体的思路是将网络安全实际工作过程中遇到的各类网络安全攻击事件进行归纳、总结，通过SOAR编排技术，形成可执行的案例。一旦攻击事件与SOAR中的案例得到了匹配，该事件可在无需人工干预的情况下，通过剧本完成自动化闭环处置，实现基于网络安全自动驾驶。告警事件博报发起封审批员登录设备封处置完人工处置发现分析取证堵申请自动处置2创建索例（合剧本）生成家例与妆击规则关系表安全检测设备玫击识ISOP别引掌1、自有资产爱攻击2、攻击等级为高审批案例管理自定义紧例内装秀（含解本）（含刷本）预判引ISOP运维事件事件研ISOP推送打上案钢换收引摩标签推送图1基于SOAR的网络安全自动驾驶思路安全能力中心SOAR编排攻击者源IP为高危IP（访问蜜鞋）堵操作SOAR引擎群本引摩成确认设备AO5响应IPDSiSOARI处盟引自动化响应处置封堵范国（暴露面出口）封堵方式（IP封堵、会话封堵）3生效时长处置动作WN邮件响应工单安全攻击场景分析（基于攻击链上下文分析）数据接入全流量监测全流量SOAR的三大核心能力是编排、自动化、安全响应，第三方设备/系统接口对接能力、剧本编排能力以及任务管理能力，通过预定义的剧本形成标准化流程，对不同类型的安全事件实现自动化响应，将企业的安全运营流程数字化管理，有效提高安全事件响应效率。通过SOAR，企业可以大幅度缩短响应时间、充分发挥安全分析能力价值、标准化安全运营流程、减少安全运营成本。SOAR的核心能力主要是通过编排和执行安全剧本的方式，完成原来需要多人多系统多界面在线协同才能处置的安全任务，大幅节约响应时间，降低人员依赖，提升工作效125成肋情报安全检测高危攻击源安全识别()数据采集安全数据资产蜜罐服蜜星WEB蜜罐数务器应用图2 基于威胁情报协同的网络安全自动驾驶动(OODA）循环。安全防护(P)访问控制入侵防御组件注册/能力封装蜜鞋系统一键封堵能力IP封堵?会话封堵掘库域名封堵率，保障应急处置质量，整体提高安全团队MTTR（平均响应时间）水平。安全编排自动化响应架构如下所示，主要包括建设消息接入层、响应策略层、案例管理层、编排策略层，与安全原子能力对接实现对安全能力的可视化编排与自动响应。在使用SOAR平台前必须具有定义良好的内部流程，而构建这些内部流程需要来自内部人员的技能。每个事件场景都应该遵循一个流程来为特定的事件构建正确的编排。在定义流程时，安全和运维人员通常会使用观察、调整、决策和行安全响应(R)健关停配置回退曾理调度/还置啊应Changjiang Information&Communications2.3.2网络安全驾驶应用探索图2 为威胁情报和全流量监测及防护处置网络安全自动驾驶应用案例。全流量监测到的网络安全攻击告警可能存在误告警，因此在安全事件处置过程中，需要技术专家进行分析研判。技术专家研判的一个思路就是攻击源IP的威胁情报，如果攻击源IP近期威胁情报显示是攻击或者恶意IP，则此IP关联的攻击告警为真实攻击告警的置信度高。具体应用案例编排方式是，通过数据中台获取蜜罐系统中检测到的攻击源IP画像，与企业出口全流量监测到的攻击源IP进行关联，关联的全流量监测攻击告警直接通过剧本调用安全DDoS攻击监测汪有杰：基于SOAR技术的网络安全自动驾驶的研究中台，实现防火墙、会话封堵等方式针对攻击IP实施自动化封堵和拦截。图3为大流量DDoS攻击监测及处置自动驾驶应用案例。通过SOAR技术，将DDoS大流量攻击监测、分析、DDoS攻击清洗、清洗效果验证纳入自动处置案例。通过安全数据中台获取DDoS攻击告警，针对监测到的DDoS告警攻击峰值进行判断，针对攻击峰值超过阈值的大流量DDoS攻击通过编排调度清洗能力实施清洗，清洗系统清洗后，调用自动复测能力，针对清洗效果进行验证。监测到大流量攻击告警消失，编排系统调用清洗系统，停止清洗。大流量DDoS攻击SOAR编排案例流程精准派单处置及复测1香异常流量监测用户接入带宽IP潮源监测发现玫击攻击停止超过是闽值开启清洗停止清洗自动复测自动复测告知1工单-1-111图3基于SOAR的DDoS攻击网络安全自动驾驶防护SOAR可应用于钓鱼邮件自动化监测和处置。安全监测相关设备发现了钓鱼邮件的告警，提取邮件的原文和沙箱报告，告警内容等信息，提取邮件中的URL、源IP地址和附件，如果没有URL，那么SOAR就会整理信息发给安全运营人员，这个流程就结束了。如果有URL，就需要查看下哪些人员访问了这个URL。然后会自动收集名单发送给安全运营人员。接下来继续判断邮件里面有没有附件，如果有，我们把这个附件放到安全检测的沙箱里面判断下，如果有毒的话，我们就要看下有谁都收到了这个邮件，我们要获取到收件人的列表，将这个列表发给安全运营人员。如果我们在前面的流程中没有发现可疑的行为，那么我们这个流程就会停止，并且发邮件告诉安全人员，安全人员就需要做一些人为的决策，比如说我们要不要停止这个人的域账号，禁用他的VPN账号，使其接受安全培训等。基于威胁等级、攻击频次阶梯处置场景，日常运维中，通常不只依托于威胁情报IP就简单判断一个威胁事件，SOAR需要结合危害级别、攻击频率对威胁事件的处置方法进行