企业动态

    “救死扶伤加特林，妙手回春马克沁。”作为世界上第一台自动机枪，马克沁可谓威力无比，在一战索姆河战役中，一天居然杀伤了60000名英军。一分钟600发子弹的恐怖射速，彻底改变了人类战争形态。可以说，热兵器时代，火力取代兵力，成为决定战争胜负的关键要素。当下如火如荼的网络安全实战攻防演习中也是如此。

     “重机枪”成攻击队标配？  武器失衡导致防守队疲于奔命

    “今年的攻防演习，明显攻击队的火力太猛了，给防守方造成极大压力。”奇安信安全攻防专家表示，今年攻击队掌握了如burpsuite、Metasploit等众多攻击工具，进行资产指纹收集、漏洞自动检测、利用以及获取权限等功能。同时攻击队还精心设计了专门接口，以加快攻击过程，实现了工具集成化、平台化，形成完整的自动化攻击链。

    不仅如此，这些自动化攻击工具经常共享一个请求，快速处理对应的HTTP消息、持久性、认证、代理、日志和警报，所以在攻击频度上实现了快速连续，在手段上形成组合拳，最终构成饱和式攻击，堪称无数挺“重机枪”同时开火，其火力密集可想而知。

    反观防守队，在缺少平台化、集成化防御工具的情况下，严重依赖手工分析和处置，缺少可编排自动化处置能力，最终速度慢、效率低。如同人手一支汉阳造，即便依靠“堆人”的人海战术，依然非常被动。主要集中在以下防守痛点：

    第一是无法有效识别真正的告警。在海量的攻击之下，防守方依赖的威胁检测系统、SOC运营平台等，会不可避免的频繁出现告警漏报、误报，使得运营人员无法快速甄别。

    第二是无法选取合适的处置策略。封禁IP、阻断攻击虽然操作容易，但同样在密集火力之下，不加鉴别的大量封禁，有可能导致业务受阻。

    第三是无法快速处置。防守队依赖于人工分析排查，需要分别操作各类安全设备、系统进行处置，在激烈对抗中，无法像哪吒、杨戬那样三头六臂，分身乏术。经常是直到标靶被打穿，攻击链完成时，也来不及堵漏防御。

    最后是查看战果极其繁琐。实战攻防演习期间每天需要总结复盘，安全运营人员本身疲惫了一天，又要汇总各系统防守数据，统计每日战果费时费力，加大运营人员的疲劳度。

    总之，每年的实战攻防演习，是网络安全人员的巅峰对决盛会，也是一场地狱级的考验，7×24小时不仅疲惫不堪，还需要时刻提心吊胆。以某中型企业的防守队为例，实战中每日封禁超过1500个，VPN账号加白处置超过80个，守方疲于奔命。一句话，怎一个累字了得？

  奇安信专家支招： 装备升级，以自动化对抗自动化

    针对这种“汉阳造”步枪对抗“马克沁”机枪的攻守不对称现状，奇安信安全专家提出的方案是：以SOAR安全编排自动化与响应系统为基础，进行装备升级，实现安全能力集成化、平台化、自动化处置，构建真正的智慧型“安全能力中台”。

    该方案的核心，是将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起，有序处理多源数据，持续进行安全告警分诊与调查、案例处置、协同作战、事件响应，并最终实现高效安全运营。

    在攻防场景下的具体应对层面，奇安信SOAR专家有如下建议：

    首先是威胁评分建模，以及基于多源情报、沙箱、EDR、HIDS、CMDB、漏扫等信息的综合研判。

    一方面，对于各类网络攻击告警，除了使用传统的过滤归并功能进行降噪外，还利用SOAR威胁评分模型进行辅助决策，从IP归属、历史处置情况、TIP情报比对、告警等级、告警触发频度等多维度进行威胁建模，依据评分结果自动采取适配的响应策略。

    另一方面，结合沙箱、EDR、HIDS、CMDB、漏扫系统等进行立体化信息聚合，如恶意样本沙箱评估、疑似病毒检测、可疑进程扫描、CVE等特征漏洞扫描、资产信息富化等，通过综合信息研判，对告警进行多维复核，降低误报风险。

    其次是阶梯化封禁（避免业务受阻），以及终端/主机隔离，病毒查杀、进程查杀等，实现攻击阻断。

    对于网络边界类攻击，如外网探测、反弹shell、远控木马等可以按不同威胁特征对攻击源采取阶梯化封禁策略，并支持定时解封，降低攻击对正常业务的影响，这类联动角色可由防火墙、WAF、负载均衡、IPS等设备承担。SOAR系统支持自动匹配地址库，驱动不同区域边界设备实施阻断动作；对于终端/主机失陷类告警，可采取设备隔离下线、进程查杀、全盘扫描等措施，待威胁消除后再允许终端/主机上线等。

    第三是人机协同，实现可编排和自动化响应。

    好的武器，配合专业的使用者，才能最大化发挥效力。奇安信SOAR系统具备完善的剧本管理功能，内置符合BPMN2.0规范的工作流引擎，支持剧本库管理、可视化剧本编辑器和剧本运行监控。工作流引擎会根据剧本的预设逻辑执行每个活动。如果是人机交互的活动则调用人机接口，如果是应用活动则调用自动化应用执行引擎，自动激活相关应用动作的执行过程。

    最后是通过攻防演习仪表板、攻防演习日报/周报等全面呈现结果。

    奇安信SOAR可以根据每日接收/采集告警情况、响应情况、攻击情况、受害情况、剧本执行情况、应用动作执行情况等数据，自动汇总统计出攻防演习期间每日/每周的数据，给用户以清晰的蓝方防御报表，为整体防御效果评估和下步工作改进方向提供决策依据。

    以某企业的防守队为例，部署了奇安信SOAR之后，可以实现7×24小时全天候自动值班，IP封禁速度提高了120倍，总计处置的外网IP超过13000个，依托精准识别和高效处置，真正实现L3级的“无人驾驶”。

    典型安全运营场景，奇安信SOAR提效可达1000倍以上

    奇安信SOAR作为一款国内技术先进、功能完备、面向实战化安全运营的安全编排自动化与响应系统，能够帮助企业和组织将繁杂的安全运营（尤其是安全响应）过程梳理为任务和剧本，将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将团队、工具和流程高度协同起来。

    奇安信SOAR首先具备灵活高效的剧本编排，并具有丰富的剧本场景库。它还具备强大的设备对接能力，目前已内置140+种设备的对接和联动，并可灵活扩展。针对重保场景的协同作战，他可以通过系统内置重保模块，支持IP批量封禁和白名单功能。此外，SOAR还实现了运行状态的密切监测，保障自身安全。

    事件驱动下的自动响应，是SOAR在网络安全运营最典型的场景之一。该场景核心是通过告警识别—>策略选择—>协同处置,依托SOAR的自动化优势，使其效率大幅度提升。以重保时的一键封禁IP为例，如果是少量IP，原有人工处置方式需要20分钟起，使用SOAR的处置方式，封禁加上人工确认时间，大约3分钟，SOAR的效率提升超过7倍。如果需要封禁大量IP，可以通过SOAR实现自动持续进行封禁，人工批量确认，SOAR的效率提升可达1000倍以上。

    结束语

    一年一度的网络安全实战攻防演习，也是一场攻击队和防守队的“武器对抗秀”。当前，攻击队普遍采用自动化的攻击工具，攻击强度、烈度都有大幅度提升，防守队迫切需要配备以SOAR为代表的应对武器。

    作为连续两年被Gartner列入具有代表性的SOAR供应商之一，奇安信SOAR在重大活动网络安全保障和攻防演习期间，可帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验，全方位提升实战化、体系化、常态化安全运营水平，并帮助客户解决安全运营响应人员不足、安全事件响应不及时、运营维护工作重复、安全设备之间缺乏协同且联动性差等问题。

    本文图片素材来源于网络