薛 亮 周 飞 段 炼

中国移动通信集团江苏有限公司

0 引言

近年来安全威胁发生了很大变化，APT（高级持续性威胁）攻击事件、新兴威胁日益增加。依据现有规则、关联分析等技术进行安全风险识别分析与防控已越来越难以满足未来的发展趋势。随着IT技术和环境的变化，信息安全已经完成了保密通信信息、全面动态防护、构建可信系统三个阶段的发展，现已逐步向以安全编排为核心的自动化处置与响应阶段过渡。当前的安全技术发展趋势是，须充分利用自动化处置技术，结合安全编排能力，构筑自动化平台，提供以自动化&安全编排为核心，汇聚和构建不同场景的安全运营能力，为前端业务运营提供按需定制的安全服务，实现“整合安全资源组件、沉淀安全业务场景”，为安全能力服务的快速交付与运营提供支撑，降低人工风险排查成本，提升安全纵深防御能力，构建智慧、主动的立体安全体系。

研究小组鉴于对以上的安全形势、安全技术发展趋势分析，确定采用近年安全行业发展较为迅速的SOAR（安全编排与自动化响应）技术理念，研究探索并打造基于安全编排的自动化安全运营处置系统，作为安全处置的控制枢纽，其具备自动化的安全分析、安全处置、安全运营能力，上接各类安全数据源如大数据分析平台、态势平台、SIEM（安全信息和事件管理）平台，下接各种安全基础系统、工单运维系统，快速完成安全运营处置自动化流程定制，支撑各业务系统对安全处置业务能力的需求，并在多个安全响应场景中进行应用。

1 总体设计

自动化安全运营处置系统为安全业务处置提供便利的编排能力，可以根据安全业务场景完成流程定制。通过自动处置流程引擎将自动化能力贯穿到安全分析、安全处置、安全运营体系中，并对执行过程、执行结果进行管理，节省时间、人力、成本，也避免人在处理大量数据的过程中带来的误差或失误[1]。针对未知安全事件能够统一协调相关人员通过各类自动化工具完成安全事件生命周期的统一处置。总体来说，通过研究并构建自动化的安全运营处置系统，拉通了人、设备与流程之间的关系，建立了长效的安全处置机制。

系统总体逻辑架构如图1所示。

图1 总体逻辑架构

系统的总体功能架构如图2所示。

图2 总体功能架构

安全场景编排是自动化编排与响应系统的核心能力，主要包括设备插件管理、自动化脚本、剧本可视化编排三大类主要能力：

（1）插件管理负责配置管理各类安全组件，根据实际安全需求动态对接管理安全设备，如防火墙、防病毒、WAF等安全设备。通过配置、管理、对接安全设备的具体指令，如任务下发接口、指令下发接口等，实现安全设备联动。

（2）自动化脚本是业务逻辑实现的最小单元，通过脚本可以实现参数类型转换、负载优化算法、业务逻辑判断等具体算法。

（3）剧本是对脚本、插件编排的具体描述，用来定义安全事件响应的具体流程、步骤。

安全事件处理不仅要应对已知威胁，同时针对未知的安全事件需要协调处理管理功能。针对未知的安全事件引入案件管理概念，对接受到新的未知安全事件统一转化为案件，进行人工处理。并能够针对案件进行经验总结并编写对应的处置剧本，为相同的事件提供统一的自动化处理流程。

基于安全编排的自动化安全运营处置系统的数据流如图3所示。

图3 安全运营处置系统数据流向示意

自动响应处置需要依赖自动化的引擎，对应着可视化编排的剧本和自动化的脚本，需要分别有相应的引擎对其解释并运行：

（1）自动化流程引擎

自动化流程引擎作为工作流的实际执行者，接受自动化安全剧本，解析安全剧本，解释剧本中描述的流程信息，生成自动化任务并完成自动化执行：①自动化剧本执行：按照预设场景自动执行预制的响应剧本，安全告警事件关联编排剧本并执行；②剧本执行过程监控：监控剧本的任务执行情况，包括剧本所有步骤节点的执行状态情况，包括流程执行内容、日志等信息，方便及时解决剧本执行过程中出现的问题。

（2）自动化脚本引擎

自动化脚本引擎作为自定义脚本的实际执行者，能够接受安全剧本节点中的脚本，在脚本流程任务中解释、执行脚本程序与指令：①接受执行自定义脚本，自定义脚本采用解释方式运行，无需编译，随时修改随时失效，便于安全运营人员根据安全需求随时进行调整；②支持Python脚本语言，不论开发人员、运维人员、安全运营人员都可快速掌握。

2 安全事件处置场景自动化

在整个安全告警事件处置场景的过程中，需要有准确的资产信息，研究小组将安全运营处置系统与资产管理系统进行数据同步，为所有资产信息提供可靠的数据来源，自动增加和更新资产信息库[2]。

剧本编排作为安全运营处置系统的核心功能，通过分析安全事件分析、处置的需求，研究小组根据不同场景建立了多个剧本，将安全事件处置流程的业务逻辑进行串联，极大提高了本单位安全运营处置的工作效率。具体如下：

2.1 场景1：高级威胁分析

威胁分析是所有企业安全运营工作团队在安全事件响应期间执行的首要任务之一。这里的挑战是双重的，首先了解全面的威胁信息指标需要跨平台调用不同的工具，其次威胁分析的结果需要及时传递给各防护组件以便及时更新各防护组件的指标、策略库来阻止重复的攻击。安全编排剧本可以通过查询不同的威胁情报工具来自动丰富指标。通过在事件响应开始时运行这个剧本，企业的安全运营人员可以在几秒钟内获得丰富的数据进行研究，从而避免人工逐个访问各个安全防护组件查询信息所浪费的时间，同时能够将分析结论及时更新各监视列表和威胁数据库[3]。高级威胁分析自动化剧本如图4所示。

图4 高级威胁分析自动化剧本

剧本说明：（1）获取流量原始日志解析提取流量信息；（2）对威胁攻击指标进行补充，使用多种威胁情报工具丰富实体的详细信息。例如，使用威胁情报工具来丰富URL信息，使用DNS服务来丰富IP信息，并使用威胁情报工具和沙箱等恶意软件分析工具来丰富文件信息；（3）根据各项威胁攻击指标判断是否为恶意流量；（4）更新情报库，剧本基于标识的恶意动作初始响应动作。例如，将恶意指标反馈到威胁情报数据库和工具监控列表中，以避免攻击。

2.2 场景2：恶意流量处置

面对未知威胁、APT攻击，传统防御体系仍然适用，但效果有限，在整个处置环境中需要充分协调分析、处置等环节才能做到有效防护。安全编排剧本可以将流量分析工具、沙箱验证、防火墙/IPS等工具融合到同一流程中，减少安全运营人员工作量，加快响应速度。恶意流量处置剧本如图5所示。

图5 恶意流量处置剧本

剧本说明：（1）剧本可以从各种来源获取数据，如SIEMs、流量监测设备；（2）对流量进行检测分析，并对原始数据进行补充丰富；（3）判断是否为恶意流量，生成封堵策略安全人员确认；（4）调用网络工具完成封堵并验证封堵效果。

2.3 场景3：可疑文件分析

事件响应过程中的一个重要调查步骤是在沙箱中进行可疑文件的分析，但是，由于恶意软件分析工具与其他安全产品是独立的，安全分析人员在执行这项重复任务的同时还要在各个控制台之间进行协调，这对他们来说是一种负担。将结果粘贴到另一个控制台进行文档记录也非常耗时，并且增加了出错的几率。安全编排剧本可以将整个文件调查过程自动化，既可以作为一个独立的工作流，也可以与其他工具协同工作。这确保了分析人员不会浪费时间执行活动，能够从剧本流程的分析结果中获益，并且由于剧本在核心控制台记录所有操作的结果，因此也不需要事后手动记录操作过程，极大提高可疑文件分析的效率。可疑文件分析剧本如图6所示。

图6 可疑文件分析剧本

剧本说明：（1）剧本可以从各种来源获取数据，如SIEMs、邮箱、威胁情报源和恶意软件分析工具；（2）从获取的数据中提取需要调查的恶意文件；（3）将调查文件上传文件到恶意软件分析工具进行调查和生成报告；（4）如果发现文件是恶意文件，则剧本会使用该信息更新相关的监视列表/黑名单。从这里开始，剧本可以扩展到其他操作，例如隔离受感染的端点，以及协调来自其他第三方威胁源的数据。

2.4 场景4：恶意软件感染场景

终端保护是事件响应的关键部分，安全运营团队经常需要在端点工具和其他安全工具之间进行协调，同时打开多个控制台，并花费宝贵的时间执行重复的手动处置工作。安全编排剧本可以将态感知平台和端点工具之间的流程统一到一个工作流中，在将分析人员引入重要决策和调查活动之前自动执行需要重复操作的步骤。

面对越来越多的勒索软件，以及越来越多的定向攻击APT，传统的病毒码已经无法抵御勒索软件等APT的威胁，可以结合可疑文件分析剧本与恶意文件处理剧本来建立一套勒索软件及定向攻击APT分析处置流程[4]。恶意软件处理剧本如图7所示。

图7 恶意软件处理剧本

剧本说明：（1）剧本从各种来源获取数据，如SIEMs、恶意软件分析工具、终端防病毒工具；（2）调用可疑文件分析自剧本进行文件验证；（3）查询感染主机；（4）隔离主机、主机杀毒处理、主机加固。

2.5 场景5：漏洞管理场景

漏洞管理涵盖了各种主动和被动的安全操作，安全运营团队经常无法成功地跨环境关联数据，需要花费太多时间来统一上下文，而没有足够的时间来补救漏洞。在将控制权交给分析师进行手动修复之前，安全编排剧本可以自动充实漏洞信息和增加漏洞上下文。通过确保分析人员的时间不是花在执行重复的任务上，而是花在做出关键的决策和推断上，从而保持自动化和手动过程之间的平衡[5]。漏洞管理剧本如图8所示。

图8 漏洞管理剧本

剧本说明：（1）驱动漏扫工具完成资产漏洞扫描任务；（2）获取漏扫结果；（3）通过相关工具丰富漏洞信息，如资产信息；（4）通过漏洞管理工具查询与该漏洞相关的信息，后果和补救措施；（5）将通知相应安全分析或运维人员进行手动调查和修复漏洞；（6）修补效果验证。

2.6 场景6：恶意邮件处置场景

邮件系统连接互联网，随着办公业务的发展及人员的扩充，邮件服务的稳定性和安全性愈发重要。钓鱼邮件是最常见的、最容易执行的、最有害的安全攻击之一。超过90%的数据泄露都是从网络钓鱼邮件开始的，因此潜在的经济损失是真实存在的。安全分析师在应对网络钓鱼攻击时面临诸多挑战，例如，如何在不耗尽精力的情况下处理攻击事件；如何避免在多个屏幕之间频繁切换进行快速分析与响应；如何在完成日常处置任务时避免人为错误；如何进行快速报告输出等，都是令人担忧的问题。安全运营处置系统可以使用“网络钓鱼剧本”，以快速执行重复的任务，识别误报，并与邮件防护系统进行对接联动、协同，进行标准化的网络钓鱼邮件响应[6]。恶意邮件处理流程剧本如图9所示。

图9 恶意邮件处理流程剧本

剧本说明：（1）发起漏扫任务（漏扫工具漏扫任务接口）；（2）获取漏扫结果（漏扫工具结果查询接口）；（3）汇总漏扫信息以及补救措施（漏洞管理库查询接口、补丁下载接口）；（4）确认漏扫结果；（5）生成整改工单发送整改人（工单系统工单接口）；（6）整改完成负责人确认；（7）完结归档。

安全运营处置系统目前具备这6类场景的自动处置剧本，具备稳定的性能、可靠的安全性、扩展性和可管理性。在事件响应管理方面，通过预定义的调查模式自动聚合事件、告警和相关的上下文信息；在安全编排方面，使用自动化，例如，告警的上下文丰富、通过集成和联动其他安全响应能力；在威胁搜索方面，支持匹配搜索日志，事件，网络数据包，网络会话；在与第三方系统的集成方面，支持与第三方系统的集成以支持工作流和自动化功能，例如API，Web调用等。

安全运营处置系统已应用在我司网络安全运营与防护的工作过程中，对于运营效率提升明显。

（1）实施前流程中日均上万条威胁数据必须依靠人工的甄别方式进行分析和处置，即便分类处置，仍然工作量巨大。实施后依据剧本定制的快捷优势，对于大多数的安全威胁风险无需人工甄别和处置风险，全天候自动快速准确处置威胁。

（2）实施前处置流程定制化设备接入和处置流程平均每流程需花费较多的研发、测试的工作量，流程上线后任何需求变更也要经过开发、测试、上线等阶段，时间也较为冗长。研究小组通过安全运营处置系统的自动化编排和处置能力，可以在短时间内完成设备的接入和自动化流程剧本编制、处理时间可达到小时级完成，定制化成本大幅缩减。

（3）实施前处置流程较为粗矿，只能针对较宽泛的类别对威胁进行处置，实施后的每一类威胁均可快速定义剧本，根据剧本精准处理威胁。

（4）安全运营处置系统每天精准自动化处置安全威胁上万条。除了已知安全事件，针对未知的安全事件引入案件管理概念，对接受到的未知安全事件统一转化为案件，进行人工处理，编写对应的处理剧本，大幅增加未知风险的甄别能力。

3 结束语

研究小组通过SOAR（安全编排与自动化响应）技术的深入研究探索，结合实际安全运营工作场景进行应用探索，有效解决了安全工作中的一些长期存在的痛点、难点安全问题，同时也大幅提高安全运营工作的效率。基于当前的研究成果与进一步的技术研究，研究小组认为，未来可以进一步研究探索利用自动化的安全运营处置系统，将其作为关键的能力聚合枢纽，做到企业各安全平台原子化能力的整合以及实现企业开放的安全能力运营中心（SOC）[7]。