“救死扶伤加特林,妙手回春马克沁。”作为世界上第一台自动机枪,马克沁可谓威力无比,在一战索姆河战役中,一天居然杀伤了60000名英军。一分钟600发子弹的恐怖射速,彻底改变了人类战争形态。可以说,热兵器时代,火力取代兵力,成为决定战争胜负的关键要素。当下如火如荼的网络安全实战攻防演习中也是如此。
1
“重机枪”成攻击队标配?
武器失衡导致防守队疲于奔命
“今年的攻防演习,明显攻击队的火力太猛了,给防守方造成极大压力。”奇安信安全攻防专家表示,今年攻击队掌握了如burpsuite、Metasploit等众多攻击工具,进行资产指纹收集、漏洞自动检测、利用以及获取权限等功能。同时攻击队还精心设计了专门接口,以加快攻击过程,实现了工具集成化、平台化,形成完整的自动化攻击链。
不仅如此,这些自动化攻击工具经常共享一个请求,快速处理对应的HTTP消息、持久性、认证、代理、日志和警报,所以在攻击频度上实现了快速连续,在手段上形成组合拳,最终构成饱和式攻击,堪称无数挺“重机枪”同时开火,其火力密集可想而知。
反观防守队,在缺少平台化、集成化防御工具的情况下,严重依赖手工分析和处置,缺少可编排自动化处置能力,最终速度慢、效率低。如同人手一支汉阳造,即便依靠“堆人”的人海战术,依然非常被动。主要集中在以下防守痛点:
-
第一是无法有效识别真正的告警。在海量的攻击之下,防守方依赖的威胁检测系统、SOC运营平台等,会不可避免的频繁出现告警漏报、误报,使得运营人员无法快速甄别。
-
第二是无法选取合适的处置策略。封禁IP、阻断攻击虽然操作容易,但同样在密集火力之下,不加鉴别的大量封禁,有可能导致业务受阻。
-
第三是无法快速处置。防守队依赖于人工分析排查,需要分别操作各类安全设备、系统进行处置,在激烈对抗中,无法像哪吒、杨戬那样三头六臂,分身乏术。经常是直到标靶被打穿,攻击链完成时,也来不及堵漏防御。
-
最后是查看战果极其繁琐。实战攻防演习期间每天需要总结复盘,安全运营人员本身疲惫了一天,又要汇总各系统防守数据,统计每日战果费时费力,加大运营人员的疲劳度。
总之,每年的实战攻防演习,是网络安全人员的巅峰对决盛会,也是一场地狱级的考验,7×24小时不仅疲惫不堪,还需要时刻提心吊胆。以某中型企业的防守队为例,实战中每日封禁超过1500个,VPN账号加白处置超过80个,守方疲于奔命。一句话,怎一个累字了得?
2
奇安信专家支招:
装备升级,以自动化对抗自动化
针对这种“汉阳造”步枪对抗“马克沁”机枪的攻守不对称现状,奇安信安全专家提出的方案是:以SOAR安全编排自动化与响应系统为基础,进行装备升级,实现安全能力集成化、平台化、自动化处置,构建真正的智慧型“安全能力中台”。
该方案的核心,是将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起,有序处理多源数据,持续进行安全告警分诊与调查、案例处置、协同作战、事件响应,并最终实现高效安全运营。
在攻防场景下的具体应对层面,奇安信SOAR专家有如下建议:
-
首先是威胁评分建模,以及基于多源情报、沙箱、EDR、HIDS、CMDB、漏扫等信息的综合研判。
一方面,对于各类网络攻击告警,除了使用传统的过滤归并功能进行降噪外,还利用SOAR威胁评分模型进行辅助决策,从IP归属、历史处置情况、TIP情报比对、告警等级、告警触发频度等多维度进行威胁建模,依据评分结果自动采取适配的响应策略。
另一方面,结合沙箱、EDR、HIDS、CMDB、漏扫系统等进行立体化信息聚合,如恶意样本沙箱评估、疑似病毒检测、可疑进程扫描、CVE等特征漏洞扫描、资产信息富化等,通过综合信息研判,对告警进行多维复核,降低误报风险。
-
其次是阶梯化封禁(避免业务受阻),以及终端/主机隔离,病毒查杀、进程查杀等,实现攻击阻断。
对于网络边界类攻击,如外网探测、反弹shell、远控木马等可以按不同威胁特征对攻击源采取阶梯化封禁策略,并支持定时解封,降低攻击对正常业务的影响,这类联动角色可由防火墙、WAF、负载均衡、IPS等设备承担。SOAR系统支持自动匹配地址库,驱动不同区域边界设备实施阻断动作;对于终端/主机失陷类告警,可采取设备隔离下线、进程查杀、全盘扫描等措施,待威胁消除后再允许终端/主机上线等。
-
第三是人机协同,实现可编排和自动化响应。
好的武器,配合专业的使用者,才能最大化发挥效力。奇安信SOAR系统具备完善的剧本管理功能,内置符合BPMN2.0规范的工作流引擎,支持剧本库管理、可视化剧本编辑器和剧本运行监控。工作流引擎会根据剧本的预设逻辑执行每个活动。如果是人机交互的活动则调用人机接口,如果是应用活动则调用自动化应用执行引擎,自动激活相关应用动作的执行过程。
-
最后是通过攻防演习仪表板、攻防演习日报/周报等全面呈现结果。
3
典型安全运营场景,
奇安信SOAR提效可达1000倍以上
奇安信SOAR作为一款国内技术先进、功能完备、面向实战化安全运营的安全编排自动化与响应系统,能够帮助企业和组织将繁杂的安全运营(尤其是安全响应)过程梳理为任务和剧本,将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将团队、工具和流程高度协同起来。
奇安信SOAR首先具备灵活高效的剧本编排,并具有丰富的剧本场景库。它还具备强大的设备对接能力,目前已内置140+种设备的对接和联动,并可灵活扩展。针对重保场景的协同作战,他可以通过系统内置重保模块,支持IP批量封禁和白名单功能。此外,SOAR还实现了运行状态的密切监测,保障自身安全。
4
结束语
一年一度的网络安全实战攻防演习,也是一场攻击队和防守队的“武器对抗秀”。当前,攻击队普遍采用自动化的攻击工具,攻击强度、烈度都有大幅度提升,防守队迫切需要配备以SOAR为代表的应对武器。
作为连续两年被Gartner列入具有代表性的SOAR供应商之一,奇安信SOAR在重大活动网络安全保障和攻防演习期间,可帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验,全方位提升实战化、体系化、常态化安全运营水平,并帮助客户解决安全运营响应人员不足、安全事件响应不及时、运营维护工作重复、安全设备之间缺乏协同且联动性差等问题。
原文始发于微信公众号(奇安信集团):听说攻击队全换上了“马克沁”,这攻防演习还能打下去么?
