首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

2023年攻防演習(xí)案例丨天穹企業(yè)級(jí)安全運(yùn)營(yíng)中心

閱讀量：次 文章來(lái)源：安恒信息

故事背景

XX企業(yè)作為大型企業(yè)，該企業(yè)平時(shí)單日告警量少則百萬(wàn)、多至千萬(wàn)，資產(chǎn)數(shù)量眾多，告警量巨大。告警研判成員常被淹沒(méi)在海量告警中，分析效率低下且常發(fā)生漏報(bào)等情況，除此之外，告警處置組處置聯(lián)動(dòng)困難，當(dāng)研判分析組成員分析完畢后想要處置，只能手動(dòng)導(dǎo)出一份表格，并人工登錄防火墻等設(shè)備進(jìn)行手動(dòng)封禁，聯(lián)動(dòng)設(shè)備非常不方便。

安恒信息安全運(yùn)營(yíng)平臺(tái)的核心目標(biāo)是為安全運(yùn)營(yíng)人員減負(fù)，通過(guò)自動(dòng)化處置，提升告警分析研判與處置效率。該安全運(yùn)營(yíng)團(tuán)隊(duì)隨即展開(kāi)運(yùn)營(yíng)流程梳理工作，結(jié)合安全運(yùn)營(yíng)平臺(tái)組歷史自動(dòng)化劇本經(jīng)驗(yàn)，沉淀出適配該企業(yè)的150+自動(dòng)化處置流程劇本，并將劇本劃分為日常運(yùn)營(yíng)場(chǎng)景和重要保障場(chǎng)景兩大類。

#一

前期準(zhǔn)備

1.? 平臺(tái)關(guān)系梳理與對(duì)接

現(xiàn)場(chǎng)除以安全運(yùn)營(yíng)平臺(tái)為核心平臺(tái)，此外還部署了安恒信息APT、日志審計(jì)、迷網(wǎng)系統(tǒng)、AiLPHA大數(shù)據(jù)分析平臺(tái)，以及某信、某盟、某安、某云等多家廠商平臺(tái)或安全設(shè)備。

匯聚了全量告警數(shù)據(jù)的AiLPHA平臺(tái)以及蜜罐等行為捕獲類設(shè)備均將告警接入至安全運(yùn)營(yíng)平臺(tái)；明御安全網(wǎng)關(guān)等防火墻類設(shè)備通過(guò)安全運(yùn)營(yíng)平臺(tái)的設(shè)備管理功能，統(tǒng)一接入并進(jìn)行聯(lián)動(dòng)管理。有效結(jié)合終端、網(wǎng)絡(luò)、邊界三層防護(hù)技術(shù)，實(shí)現(xiàn)防護(hù)技術(shù)統(tǒng)一管理與自動(dòng)化調(diào)用。

產(chǎn)品聯(lián)動(dòng)關(guān)系圖

2.? 事件協(xié)同流程線上化

事件協(xié)同流程如下，安全運(yùn)營(yíng)平臺(tái)在接入告警數(shù)據(jù)的同時(shí)對(duì)其進(jìn)行分級(jí)分類管理：1.不同廠商負(fù)責(zé)本廠商告警所產(chǎn)生事件；2.本廠商負(fù)責(zé)的安全事件處理方式分為全自動(dòng)化處理與半自動(dòng)化處理兩大類，即可通過(guò)不同的觸發(fā)條件觸發(fā)不同的處理流程劇本。

事件分流與處置流程

#二

威脅監(jiān)測(cè)及處置

1.? 基于已知威脅的7*24H自動(dòng)化處置

安全運(yùn)營(yíng)平臺(tái)提取特定的原始威脅日志并進(jìn)行關(guān)鍵字段篩選，基于業(yè)務(wù)模型建立定制化威脅監(jiān)測(cè)處置基線，通過(guò)威脅建模制定安全規(guī)則，實(shí)現(xiàn)已知威脅的7*24小時(shí)自動(dòng)化封禁處置，整個(gè)過(guò)程全程自動(dòng)化，無(wú)需人工干預(yù)。

2.? 重要資產(chǎn)和靶標(biāo)相關(guān)的優(yōu)先級(jí)監(jiān)測(cè)

針對(duì)重要資產(chǎn)進(jìn)行重點(diǎn)監(jiān)測(cè)，基于重要業(yè)務(wù)系統(tǒng)的安全告警信息（對(duì)內(nèi)發(fā)起和對(duì)外發(fā)起）進(jìn)行案件推送并標(biāo)識(shí)，提醒安全運(yùn)營(yíng)高級(jí)工程師和技術(shù)專家對(duì)該類事件的處置優(yōu)先級(jí)，進(jìn)而提升重要業(yè)務(wù)系統(tǒng)的安全告警信息的關(guān)注和分析和閉環(huán)能力。

3. 弱口令自動(dòng)發(fā)現(xiàn)、通知、整改的

專項(xiàng)處置管理

針對(duì)弱口令告警進(jìn)行專項(xiàng)處置，集中整改，安全運(yùn)營(yíng)平臺(tái)針對(duì)Ailpha大數(shù)據(jù)分析平臺(tái)所收錄的各廠商威脅告警日志中篩選和提取弱口令相關(guān)風(fēng)險(xiǎn)告警周期性進(jìn)行自動(dòng)化收集整理，并生成“弱口令專項(xiàng)統(tǒng)計(jì)表”交付件，已工單形式發(fā)送給相關(guān)負(fù)責(zé)人進(jìn)行整改，同時(shí)與釘釘聯(lián)動(dòng)，在群內(nèi)及時(shí)通知相關(guān)人員，督促起快速完成整改處置。

4.? 僵木蠕自動(dòng)發(fā)現(xiàn)、通知、查殺的

專項(xiàng)處置管理

僵木蠕自動(dòng)發(fā)現(xiàn)、通知、查殺的專項(xiàng)處置管理主要利用安全運(yùn)營(yíng)平臺(tái)完成整體安全事件流程的定制和關(guān)鍵節(jié)點(diǎn)的自動(dòng)化聯(lián)動(dòng)，涉及終端防病毒、流量威脅監(jiān)測(cè)、網(wǎng)絡(luò)邊界自動(dòng)化阻斷等多種防護(hù)技術(shù)。通過(guò)實(shí)施本專項(xiàng)處置管理，持續(xù)開(kāi)展流量威脅監(jiān)測(cè)、自動(dòng)化識(shí)別惡意URL和惡意IP并封禁、通過(guò)樣本分析對(duì)僵木蠕程序普殺通殺，利用安全運(yùn)營(yíng)平臺(tái)實(shí)現(xiàn)安全能力自動(dòng)化調(diào)用及靈活編排，實(shí)現(xiàn)了對(duì)僵木蠕事件從檢測(cè)、到阻斷、再到橫展清查的全鏈路有效防治。

#三

威脅情報(bào)運(yùn)營(yíng)管理

安全運(yùn)營(yíng)平臺(tái)對(duì)接安恒安全星圖平臺(tái)和微步TIP平臺(tái)，接收的的情報(bào)數(shù)據(jù)以釘釘通知形式下發(fā)至客戶側(cè)。收取來(lái)自各情報(bào)平臺(tái)情報(bào)信息，通過(guò)安全運(yùn)營(yíng)平臺(tái)進(jìn)行下發(fā)，實(shí)現(xiàn)情報(bào)的快速同步和共享。

#四

自動(dòng)化運(yùn)維監(jiān)控

1. 自動(dòng)化運(yùn)維巡檢

基于安全運(yùn)營(yíng)平臺(tái)實(shí)現(xiàn)安全設(shè)備自動(dòng)化巡檢安全設(shè)備鏈路狀態(tài)、CPU、內(nèi)存及磁盤(pán)使用率、鏈路狀態(tài)監(jiān)控等信息，設(shè)置安全定制化閾值告警基線，周期性巡檢和結(jié)果提取。

當(dāng)設(shè)備鏈路出現(xiàn)異常、設(shè)備性能指標(biāo)高于閾值時(shí)將以釘釘?shù)姆绞酵ㄖ料嚓P(guān)負(fù)責(zé)人、目前已實(shí)現(xiàn)對(duì)接某盟WEB應(yīng)用防護(hù)系統(tǒng)、某盟入侵防護(hù)系統(tǒng)、某X廠流量編排、某X廠分流器、安恒APT、日志審計(jì)、明御安全網(wǎng)關(guān)等安全設(shè)備，自動(dòng)化巡檢告警準(zhǔn)確率可達(dá)100%，保證日常安全運(yùn)營(yíng)期間安全設(shè)備運(yùn)行狀態(tài)、鏈路狀態(tài)等發(fā)生異常時(shí)的第一時(shí)間發(fā)現(xiàn)，并快速介入處理。

2. 平臺(tái)運(yùn)維保障

通過(guò)能力編排劇本實(shí)現(xiàn)告警結(jié)果自動(dòng)匯總，實(shí)現(xiàn)整個(gè)安全運(yùn)營(yíng)期間以每小時(shí)為周期匯總及對(duì)比Ailpha告警數(shù)據(jù)、匯總工單數(shù)據(jù)及工單處置完成情況，以釘釘方式自動(dòng)下發(fā)至釘釘群，與安全運(yùn)營(yíng)人員進(jìn)行信息同步的自動(dòng)化機(jī)制。

#五

成果概覽

1. 運(yùn)營(yíng)態(tài)勢(shì)一屏總覽

整個(gè)安全運(yùn)營(yíng)期間，安恒信息AilPHA大數(shù)據(jù)分析平臺(tái)外部威脅態(tài)勢(shì)、資產(chǎn)實(shí)現(xiàn)態(tài)勢(shì)、安全運(yùn)營(yíng)態(tài)勢(shì)也作為客戶側(cè)關(guān)注重點(diǎn)在數(shù)據(jù)中心保障大廳進(jìn)行大屏7*24小時(shí)實(shí)時(shí)滾動(dòng)展示，實(shí)時(shí)監(jiān)測(cè)威脅告警和運(yùn)營(yíng)重保場(chǎng)景相關(guān)數(shù)據(jù)，為客戶側(cè)提供更好的技術(shù)抓手和管理抓手。

除了時(shí)刻關(guān)注大屏之外，安全運(yùn)營(yíng)人員每天也會(huì)在內(nèi)部進(jìn)行各班組的日工作交接和復(fù)盤(pán)，包括錯(cuò)誤案件、超時(shí)案件分析和點(diǎn)檢工單內(nèi)容質(zhì)量分析等，討論解決和優(yōu)化方案，并當(dāng)晚完成內(nèi)部試行測(cè)試和結(jié)果同步，確保次日工作順利執(zhí)行。

2. 封禁成果總覽

安全運(yùn)營(yíng)期間，封禁次數(shù)單日最高可達(dá)4萬(wàn)次，單臺(tái)設(shè)備總計(jì)封禁高達(dá)6萬(wàn)次，自動(dòng)封禁比率高達(dá)99.52%。

封禁成果統(tǒng)計(jì)圖

3. 工單辦理總覽

安全運(yùn)營(yíng)15天內(nèi)，整個(gè)安全運(yùn)營(yíng)團(tuán)隊(duì)共計(jì)辦理1.7萬(wàn)份工單任務(wù)，經(jīng)計(jì)算，平均每人每天只需處理15份（17000/80人/15天）工單即可有效完成研判或溯源工作。工單完成率共計(jì)97.42%，平均處理時(shí)間15分鐘。

其中，分析研判任務(wù)共計(jì)1.6萬(wàn)份，完成率97.52%，平均處理時(shí)間8分鐘。溯源任務(wù)共計(jì)86份，完成率95.56%，由于溯源任務(wù)較為復(fù)雜，故平均處理時(shí)間2小時(shí)。

平臺(tái)工單處理情況概覽

分析研判任務(wù)統(tǒng)計(jì)概覽

溯源任務(wù)統(tǒng)計(jì)概覽

4. 事件處置效率總覽

安全運(yùn)營(yíng)15天內(nèi)，整個(gè)安全事件平均處理時(shí)間僅為7分38秒，相比于沒(méi)有部署SOAR的團(tuán)隊(duì)來(lái)說(shuō)，平均每件安全事件處置時(shí)間可節(jié)省18分48秒（保守計(jì)算：以一次聯(lián)動(dòng)成功動(dòng)作或執(zhí)行腳本節(jié)約1分鐘），共計(jì)可節(jié)約時(shí)間高達(dá)674天2時(shí)58分。