基于安全编排自动化与响应技术在网络安全应急响应中的应用探索

束维国

（安徽省经济和信息化厅信息中心，安徽 合肥 230001）

引言

在网络安全工作中，攻与防的对抗本质是人与人的对抗，但如何最大限度发挥人的经验和能力，必须要采用必要的自动化工具。本文作者有着多年从事信息化和网络安全工作经验，敏锐地发现随着网络安全攻防对抗的日趋激烈，网络安全单纯指望防范和阻止的策略已经失效，必须更加注重检测与响应，从而提出了网络安全的应急响应自动化编排技术。

1 网络安全形势

随着互联网的发展，政府机构与中大型企业单位也在不断进行数字化转型。业务的不断转型升级，也带来了新的安全威胁，如何构建更加高效的网络安全应急体系也变得尤为重要。

由于新型数字货币的出现，黑产的变现方式变得更加丰富，难溯源的特点导致黑产更加猖獗。2019 年以来，政府单位，医疗机构成为了攻击者的主要目标，攻击者通过窃取重要用户数据进行贩卖和诈骗，或者在核心系统上种植勒索病毒进行敲诈勒索。

2 网络安全应急响应挑战

从最近的安全事件来看，安全意识的漏洞、0day漏洞的爆发成为主要入侵原因。因此，安全建设并不是一劳永逸，当前的安全策略不能保证未来的安全，我们需要在安全事件爆发之时，与攻击者赛跑，尽快响应，将安全事件的危害降到最低。

攻击者在攻击时已经用上了自动化工具、协同作战工具，例如：国外知名渗透测试工具Cobalt Strike。Cobalt Strike 是一款以Metasploit 为基础的GUI 框架式渗透测试工具，集远程控制、权限提升、横向渗透、内网穿透以及文件管理功能为一体，主要用于团队作战，被称为渗透测试神兵利器，可以让多个攻击者同时连接到团队服务器上进行协同作战。对于防守方，大部分情况下还是徒手作战阶段，网络安全应急工程师各自凭借工作经验进行处置。由于防守方的技术水平不同，应急响应的速度和效果往往不一样。目前中大型企业和机构组织已经完成大部分的安全基础架构建设，具备较为完善的安全防御能力。入侵检测能力、高级威胁感知（APT）能力和态势感知能力都逐渐具备，但是检测之后的应急处置能力还有待提升。由于处置过程缺乏统一的调度指挥，安全事件处置没有标准化、流程化和自动化。面对日益增加的安全检测能力，企业急需一套编排驱动的设备协同工具和响应处置平台，以提升安全响应的速度和效率，降低MTTR（平均故障恢复时间），加速应急响应[1]。

3 安全编排技术的实战化应用

企业和组织机构的安全运营工作在人员指挥调度、告警研判、应急响应、经验积累及协同作战诸多方面面临的挑战越来越突出。为了应对挑战，顺应安全运营未来发展的新趋势，SOAR（Security Orchestration,Automation and Response，安全编排自动化与响应）应运而生。早在2015 年，Gartner 最先提出SOAR，并将其定义为安全运维分析与报告（Security Operations Analytics and Reporting）。随着安全运维技术的快速发展与演变，到了2017 年，Gartner 重新将SOAR 定义为安全编排自动化与响应，并将其看作是安全编排与自动化（Security Orchestration and Automation，SOA）、安全事件响应平台（Security Incident Response Platform，SIRP）和威胁情报平台（Threat Intelligence Platform，TIP）三者的结合。Gartner 认为，SOAR 技术这样的创新技术仍然在不断地演化和改进，未来它的涵义可能有所变化，但是目标不会变化，仍然是围绕着网络安全运维、加速应急响应的目的进行迭代。

安全工程师在处理一次安全应急的时候，需要在不同设备中进行切换，登陆各种安全设备进行数据提取。例如：登陆Web 应用防火墙（WAF）设备获取Web攻击信息、登陆主机入侵检测（HIDS）平台获取主机告警信息、登陆全流量设备筛选特定流量信息、登陆CMDB 系统查询资产归属。除此之外，还需要借助一些外部互联网的一些查询工具，例如：IP 地址归属地查询、威胁情报、在线加解密工具等。通过安全工程师综合研判并进行相应的处置，处置动作有：下线主机、发送邮件或者钉钉通知、记录应急处置过程等。

在使用SOAR 技术之前，不同的安全工程师的思路和水平不同，处理相同的安全事件的方式也有所不同。使用SOAR 技术之后，安全运营过程进行标准化、数字化规范，当遇到相同安全事件，都采取统一标准、统一步骤执行，避免出现因人员能力的差距导致实际应急效果不可控。并且，整个流程通过SOAR 的协同作战平台记录，处置过程可追溯，经验可沉淀。

3.1 一次基于SOAR 的实战

通过SOAR 的安全编排技术，制定标准SOP 流程，把原本需要多人、多设备参与的应急处置事件，按照预定的工作剧本（PlayBook）进行应急响应，从而加速了整个应急流程，减少人工消耗的时间，提升安全响应效率。

例如，在阿里云环境下，当阿里云态势感知发现有“反弹端口连接”的行为，安全工程师一般会按以下处置流程进行处理：

1）确定失陷主机IP。

2）发送消息、通知（钉钉、邮件）到管理员。

3）登陆实现主机查询网络会话历史。

4）登陆主机入侵检测平台，查看主机进程的上下文信息。

5）确定是否为生产环境。

6）对非生产环境直接隔离。

7）对生产环境封禁反弹的目标IP。

8）发送处置结果消息到管理员。

以上是按先后顺序进行处置，并且，从发生反弹端口的告警到管理员到岗处置，就已经有一个很大的延迟时间。接下来进行这些基础操作，对于一个熟练的安全工程师，也需要10～20 min 的执行时间，可能在这个时间内，黑客都已经完成了数据窃取、木马种植和勒索病毒种植。

以上应急案例可以通过使用安全编排自动化技术，把将预定义的工作流（Work Flow）和工作剧本（PlayBook）事故调查处置流程进行标准化。

通过自动化编排技术，可以把以上的应急流程编成安全剧本，把原本几十分钟的应急事件缩短到几分钟以内。并且整个流程有记录，可以沉淀成知识库和应急实战经验。融合了编排自动化技术的安全应急响应处置平台，能够适应更多复杂场景的安全应急响应，以更加贴近实战的方式为安全团队赋能。

3.2 SOAR 的实战意义

面向实战化安全运营的安全编排自动化与响应系统，能够将繁杂的安全运营（尤其是安全响应）过程梳理为任务和剧本，将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将人员、工具和流程高度协同，解决安全运营响应中人员匮乏、安全事件响应不及时、重复性运维工作多、安全设备之间缺乏协同以及联动性差等问题。其主要意义有以下几点：

1）整合资源、协同连接。系统将分散的设备、人员和流程等安全运营所需的各种资源有机地整合到一起，强调人如何借助编排和自动化高效利用各种安全资源，实现人与设备、设备与设备的连接与协作，解决安全运营的最后一公里落地问题，体现了实战化安全运营的理念。

2）自动运营、减负增效。利用系统的编排与自动化功能，可以将安全操作流程或其片段转变成编排化的安全剧本，并尽可能自动化地执行，从而大幅降低安全运营人员，尤其是一线安全运营人员的工作负担，减轻工作压力，提升工作效率，在现有人员条件下执行更多的任务。

3）增强告警、快速分诊。处理告警信息是安全运营的一项重要工作。系统能够在不改变告警分诊过程的情况下，将部分处理流程编排化、自动化，缩短整个过程的耗时，让人更多地进行决策，而不是获取上下文信息和来回切换工具，从而提升单位时间内处理告警的数量和质量。

4）快速响应、及时补救。安全运营人员可以将针对不同威胁的响应行动方案以预案的形式编写成安全剧本，纳入剧本库统一管理。在威胁触发后，在有人参与或者无人参与的情况下，自动地执行相关预案，如执行防火墙阻断操作、执行账号禁用操作、终止某个进程等，大大缩短手动执行预案所耗费的时间。事后还能对处置过程进行复盘，对预案进行改进，积累相关经验。

5）动态防御、持续优化。安全运营的很大一部分工作都是在进行安全对抗，而对抗的过程是在不断动态变化的。系统具备很强的可塑性和可扩展性，安全运营人员能够根据实战情况动态调整和组合流程和剧本。系统能够自动记录所有对抗过程的操作记录，便于事后总结归纳，持续优化[2]。

6）提升人效、高效度量。通过编排与自动化技术手段，提升人的运营水平和绩效，帮助安全运营人员从繁重的低端重复性劳动中解脱出来，将工作中心转移到高端创造性工作中去，提升安全运营人员的技能水平。同时，借助本系统，可以实现安全运营效果的自动化、数字化度量，让安全管理者更客观、快速地掌握安全运营团队的绩效，以及安全运营的实际效果。

4 结语

面对日益增长的攻击事件，安全人员的挑战也日益严峻。除了事前评估，事前布防以外，加速应急响应也是安全建设的重要研究方向。通过引入SOAR 智能编排自动化与响应技术并在实战中应用，可有效提高安全建设最后一公里的水平，提升安全运营质量。