2023年攻防演習(xí)案例丨天穹企業(yè)級(jí)安全運(yùn)營(yíng)中心

故事背景
XX企業(yè)作為大型企業(yè),該企業(yè)平時(shí)單日告警量少則百萬(wàn)、多至千萬(wàn),資產(chǎn)數(shù)量眾多,告警量巨大。告警研判成員常被淹沒(méi)在海量告警中,分析效率低下且常發(fā)生漏報(bào)等情況,除此之外,告警處置組處置聯(lián)動(dòng)困難,當(dāng)研判分析組成員分析完畢后想要處置,只能手動(dòng)導(dǎo)出一份表格,并人工登錄防火墻等設(shè)備進(jìn)行手動(dòng)封禁,聯(lián)動(dòng)設(shè)備非常不方便。
安恒信息安全運(yùn)營(yíng)平臺(tái)的核心目標(biāo)是為安全運(yùn)營(yíng)人員減負(fù),通過(guò)自動(dòng)化處置,提升告警分析研判與處置效率。該安全運(yùn)營(yíng)團(tuán)隊(duì)隨即展開(kāi)運(yùn)營(yíng)流程梳理工作,結(jié)合安全運(yùn)營(yíng)平臺(tái)組歷史自動(dòng)化劇本經(jīng)驗(yàn),沉淀出適配該企業(yè)的150+自動(dòng)化處置流程劇本,并將劇本劃分為日常運(yùn)營(yíng)場(chǎng)景和重要保障場(chǎng)景兩大類。
#一
前期準(zhǔn)備
1.? 平臺(tái)關(guān)系梳理與對(duì)接
現(xiàn)場(chǎng)除以安全運(yùn)營(yíng)平臺(tái)為核心平臺(tái),此外還部署了安恒信息APT、日志審計(jì)、迷網(wǎng)系統(tǒng)、AiLPHA大數(shù)據(jù)分析平臺(tái),以及某信、某盟、某安、某云等多家廠商平臺(tái)或安全設(shè)備。
匯聚了全量告警數(shù)據(jù)的AiLPHA平臺(tái)以及蜜罐等行為捕獲類設(shè)備均將告警接入至安全運(yùn)營(yíng)平臺(tái);明御安全網(wǎng)關(guān)等防火墻類設(shè)備通過(guò)安全運(yùn)營(yíng)平臺(tái)的設(shè)備管理功能,統(tǒng)一接入并進(jìn)行聯(lián)動(dòng)管理。有效結(jié)合終端、網(wǎng)絡(luò)、邊界三層防護(hù)技術(shù),實(shí)現(xiàn)防護(hù)技術(shù)統(tǒng)一管理與自動(dòng)化調(diào)用。

產(chǎn)品聯(lián)動(dòng)關(guān)系圖
2.? 事件協(xié)同流程線上化
事件協(xié)同流程如下,安全運(yùn)營(yíng)平臺(tái)在接入告警數(shù)據(jù)的同時(shí)對(duì)其進(jìn)行分級(jí)分類管理:1.不同廠商負(fù)責(zé)本廠商告警所產(chǎn)生事件;2.本廠商負(fù)責(zé)的安全事件處理方式分為全自動(dòng)化處理與半自動(dòng)化處理兩大類,即可通過(guò)不同的觸發(fā)條件觸發(fā)不同的處理流程劇本。

事件分流與處置流程
#二
威脅監(jiān)測(cè)及處置
1.? 基于已知威脅的7*24H自動(dòng)化處置
安全運(yùn)營(yíng)平臺(tái)提取特定的原始威脅日志并進(jìn)行關(guān)鍵字段篩選,基于業(yè)務(wù)模型建立定制化威脅監(jiān)測(cè)處置基線,通過(guò)威脅建模制定安全規(guī)則,實(shí)現(xiàn)已知威脅的7*24小時(shí)自動(dòng)化封禁處置,整個(gè)過(guò)程全程自動(dòng)化,無(wú)需人工干預(yù)。
2.? 重要資產(chǎn)和靶標(biāo)相關(guān)的優(yōu)先級(jí)監(jiān)測(cè)
針對(duì)重要資產(chǎn)進(jìn)行重點(diǎn)監(jiān)測(cè),基于重要業(yè)務(wù)系統(tǒng)的安全告警信息(對(duì)內(nèi)發(fā)起和對(duì)外發(fā)起)進(jìn)行案件推送并標(biāo)識(shí),提醒安全運(yùn)營(yíng)高級(jí)工程師和技術(shù)專家對(duì)該類事件的處置優(yōu)先級(jí),進(jìn)而提升重要業(yè)務(wù)系統(tǒng)的安全告警信息的關(guān)注和分析和閉環(huán)能力。
3. 弱口令自動(dòng)發(fā)現(xiàn)、通知、整改的
專項(xiàng)處置管理
針對(duì)弱口令告警進(jìn)行專項(xiàng)處置,集中整改,安全運(yùn)營(yíng)平臺(tái)針對(duì)Ailpha大數(shù)據(jù)分析平臺(tái)所收錄的各廠商威脅告警日志中篩選和提取弱口令相關(guān)風(fēng)險(xiǎn)告警周期性進(jìn)行自動(dòng)化收集整理,并生成“弱口令專項(xiàng)統(tǒng)計(jì)表”交付件,已工單形式發(fā)送給相關(guān)負(fù)責(zé)人進(jìn)行整改,同時(shí)與釘釘聯(lián)動(dòng),在群內(nèi)及時(shí)通知相關(guān)人員,督促起快速完成整改處置。
4.? 僵木蠕自動(dòng)發(fā)現(xiàn)、通知、查殺的
專項(xiàng)處置管理
僵木蠕自動(dòng)發(fā)現(xiàn)、通知、查殺的專項(xiàng)處置管理主要利用安全運(yùn)營(yíng)平臺(tái)完成整體安全事件流程的定制和關(guān)鍵節(jié)點(diǎn)的自動(dòng)化聯(lián)動(dòng),涉及終端防病毒、流量威脅監(jiān)測(cè)、網(wǎng)絡(luò)邊界自動(dòng)化阻斷等多種防護(hù)技術(shù)。通過(guò)實(shí)施本專項(xiàng)處置管理,持續(xù)開(kāi)展流量威脅監(jiān)測(cè)、自動(dòng)化識(shí)別惡意URL和惡意IP并封禁、通過(guò)樣本分析對(duì)僵木蠕程序普殺通殺,利用安全運(yùn)營(yíng)平臺(tái)實(shí)現(xiàn)安全能力自動(dòng)化調(diào)用及靈活編排,實(shí)現(xiàn)了對(duì)僵木蠕事件從檢測(cè)、到阻斷、再到橫展清查的全鏈路有效防治。
#三
威脅情報(bào)運(yùn)營(yíng)管理
安全運(yùn)營(yíng)平臺(tái)對(duì)接安恒安全星圖平臺(tái)和微步TIP平臺(tái),接收的的情報(bào)數(shù)據(jù)以釘釘通知形式下發(fā)至客戶側(cè)。收取來(lái)自各情報(bào)平臺(tái)情報(bào)信息,通過(guò)安全運(yùn)營(yíng)平臺(tái)進(jìn)行下發(fā),實(shí)現(xiàn)情報(bào)的快速同步和共享。
#四
自動(dòng)化運(yùn)維監(jiān)控
1. 自動(dòng)化運(yùn)維巡檢
基于安全運(yùn)營(yíng)平臺(tái)實(shí)現(xiàn)安全設(shè)備自動(dòng)化巡檢安全設(shè)備鏈路狀態(tài)、CPU、內(nèi)存及磁盤(pán)使用率、鏈路狀態(tài)監(jiān)控等信息,設(shè)置安全定制化閾值告警基線,周期性巡檢和結(jié)果提取。
當(dāng)設(shè)備鏈路出現(xiàn)異常、設(shè)備性能指標(biāo)高于閾值時(shí)將以釘釘?shù)姆绞酵ㄖ料嚓P(guān)負(fù)責(zé)人、目前已實(shí)現(xiàn)對(duì)接某盟WEB應(yīng)用防護(hù)系統(tǒng)、某盟入侵防護(hù)系統(tǒng)、某X廠流量編排、某X廠分流器、安恒APT、日志審計(jì)、明御安全網(wǎng)關(guān)等安全設(shè)備,自動(dòng)化巡檢告警準(zhǔn)確率可達(dá)100%,保證日常安全運(yùn)營(yíng)期間安全設(shè)備運(yùn)行狀態(tài)、鏈路狀態(tài)等發(fā)生異常時(shí)的第一時(shí)間發(fā)現(xiàn),并快速介入處理。
2. 平臺(tái)運(yùn)維保障
通過(guò)能力編排劇本實(shí)現(xiàn)告警結(jié)果自動(dòng)匯總,實(shí)現(xiàn)整個(gè)安全運(yùn)營(yíng)期間以每小時(shí)為周期匯總及對(duì)比Ailpha告警數(shù)據(jù)、匯總工單數(shù)據(jù)及工單處置完成情況,以釘釘方式自動(dòng)下發(fā)至釘釘群,與安全運(yùn)營(yíng)人員進(jìn)行信息同步的自動(dòng)化機(jī)制。
#五
成果概覽
1. 運(yùn)營(yíng)態(tài)勢(shì)一屏總覽
整個(gè)安全運(yùn)營(yíng)期間,安恒信息AilPHA大數(shù)據(jù)分析平臺(tái)外部威脅態(tài)勢(shì)、資產(chǎn)實(shí)現(xiàn)態(tài)勢(shì)、安全運(yùn)營(yíng)態(tài)勢(shì)也作為客戶側(cè)關(guān)注重點(diǎn)在數(shù)據(jù)中心保障大廳進(jìn)行大屏7*24小時(shí)實(shí)時(shí)滾動(dòng)展示,實(shí)時(shí)監(jiān)測(cè)威脅告警和運(yùn)營(yíng)重保場(chǎng)景相關(guān)數(shù)據(jù),為客戶側(cè)提供更好的技術(shù)抓手和管理抓手。

除了時(shí)刻關(guān)注大屏之外,安全運(yùn)營(yíng)人員每天也會(huì)在內(nèi)部進(jìn)行各班組的日工作交接和復(fù)盤(pán),包括錯(cuò)誤案件、超時(shí)案件分析和點(diǎn)檢工單內(nèi)容質(zhì)量分析等,討論解決和優(yōu)化方案,并當(dāng)晚完成內(nèi)部試行測(cè)試和結(jié)果同步,確保次日工作順利執(zhí)行。

2. 封禁成果總覽
安全運(yùn)營(yíng)期間,封禁次數(shù)單日最高可達(dá)4萬(wàn)次,單臺(tái)設(shè)備總計(jì)封禁高達(dá)6萬(wàn)次,自動(dòng)封禁比率高達(dá)99.52%。

封禁成果統(tǒng)計(jì)圖
3. 工單辦理總覽
安全運(yùn)營(yíng)15天內(nèi),整個(gè)安全運(yùn)營(yíng)團(tuán)隊(duì)共計(jì)辦理1.7萬(wàn)份工單任務(wù),經(jīng)計(jì)算,平均每人每天只需處理15份(17000/80人/15天)工單即可有效完成研判或溯源工作。工單完成率共計(jì)97.42%,平均處理時(shí)間15分鐘。
其中,分析研判任務(wù)共計(jì)1.6萬(wàn)份,完成率97.52%,平均處理時(shí)間8分鐘。溯源任務(wù)共計(jì)86份,完成率95.56%,由于溯源任務(wù)較為復(fù)雜,故平均處理時(shí)間2小時(shí)。

平臺(tái)工單處理情況概覽

分析研判任務(wù)統(tǒng)計(jì)概覽

溯源任務(wù)統(tǒng)計(jì)概覽
4. 事件處置效率總覽
安全運(yùn)營(yíng)15天內(nèi),整個(gè)安全事件平均處理時(shí)間僅為7分38秒,相比于沒(méi)有部署SOAR的團(tuán)隊(duì)來(lái)說(shuō),平均每件安全事件處置時(shí)間可節(jié)省18分48秒(保守計(jì)算:以一次聯(lián)動(dòng)成功動(dòng)作或執(zhí)行腳本節(jié)約1分鐘),共計(jì)可節(jié)約時(shí)間高達(dá)674天2時(shí)58分。

安全運(yùn)營(yíng)平臺(tái)部署前后的告警處置時(shí)效對(duì)比

安全事件平臺(tái)概覽
往期精彩回顧
2023-08-30

2023-08-29

2023-08-28
