闲谈
每次攻防演练,连续的工作、紧张和休息不好搞的身心疲劳,这次有了SOAR,怎么发挥安全编排响应特点,把这半年积累的日常运营处置思路、剧本应用到攻防演练场景中,能让大家少熬个夜、轻松一点,是个让人振奋的事情。
本着充分发挥,有了锤子看什么全是钉子的精神,锤他!
小目标
之前SOAR主要在内部几个安全人员使用,攻防演练期间,涉及到多个部门、多个厂商、几十个伙伴。希望攻防演练期间,能在更省人力的情况下,更快速的遏制攻击、完成溯源。
现状
1、目前公司网络环境建设有态势感知、防火墙、漏扫、威胁情报、WAF、主机安全等系统,具备对安全事件进行事前防护、事中检测和处置能力,有完整的事件处置流程。
攻防演练中监控组、分析研判组、溯源组、处置组的分工,处置流程如下:
2、在攻防演练期间安全事件至少是日常的2-3倍,需要改进如下问题:
- 在攻防演练中,各安全组之间协同、衔接工作多,大量安全事件需要各组进行配合、处置。
- 目前SOAR已经异构安全设备联动起来。在事件多、时间紧的时候,还是会出现分析、研判时间不够的情况,只能采用从严处理的办法,先封禁再分析,对于业务存在一定影响。
- 外部支持人员虽然对所操作设备熟悉,因对部分设备具有读写权限,在紧张、疲劳的氛围下存在误操作风险。
解决办法
解决思路
借助SOAR,将挖矿、僵木蠕等可以准确告警的事件,由剧本自动完成处置工作;对于需要人工介入、分析研判的事件,将安全处置组工作进行编排,加速事件响应。按攻防演练要求,调整现有剧本逻辑:
(1)建立处置模型,将各安全组之间的协同流程进行SOAR编排,解决流转过程自动化。Ps:这里的“模型”是SOAR产品
