李丁炜 孙 钢 陈宇磊 林叶明

(浙商银行股份有限公司 杭州 311200)

(浙银网络安全创新实验室 杭州 311200)

(1687113490@qq.com)

随着大数据、云计算、人工智能等技术的发展,网络威胁持续演化,网络攻击呈技术多样化、规模产业化、威胁常态化的发展趋势,网络空间层面的攻防对抗逐渐成为国家间对抗的核心要素之一,企业业务承载网络所面临的网络风险也日趋严峻,单纯依赖于人力愈发难以应对海量的网络安全威胁.在这一背景下,安全编排自动化与响应(security orchestration automation and response,SOAR)技术的诞生为企业平衡“安全、成本及效率”提供了解决方案.

SOAR通过对安全工具、专家经验以及运维操作进行规划、整合、合作和协调,将其以剧本的形式进行输出,固化为特定的自动化场景,对跨多个技术范式的安全事件进行自动化响应[1].作为SOAR中极为重要的一环,剧本由一系列包括分析、判断、决策、优化等在内的有机组合的安全编排动作构成,并藉由安全编排动作完成安全事件分析、响应及处置的标准化流程,从而复用安全专家经验,提升安全事件响应效率,解放人力[2].赵粤征等人[3]从多方面完善和丰富了SOAR解决方案概念模型,提升了安全运营的效能和成熟度,同时还构建了基于SOAR的安全运营生态体系.张健和董升来[4]对将SOAR技术如何有效应用于媒体网络安全运营体系建设中进行了探索和思考.赵晏[5]提出了一种能够适应不同场景、不同安全工作人员和不同安全工具的SOAR系统架构,解决了SOAR在实际使用场景中存在的各种问题.赵少飞和杨睿超[6]对SOAR的核心技术以及在企业安全运维中与传统安全技术相比的优势以及对企业安全管理的意义进行了详细分析,指出构建基于SOAR技术架构的安全管理平台能够满足企业在新形势下的网络安全需求.冀文等人[7]针对SOAR平台实施过程中存在的传统网络安全设备管理策略与自动化安全应急响应部署实施不相匹配的问题,提出了基于原子化设备管理策略的SOAR平台建设项目,加速了SOAR平台的实践落地并节省了建设成本.邢家鸣和王贵智[8]分析了在金融行业的安全防护方面SOAR技术拥有好的应用前景.

新兴起的SOAR技术需要逐步走向成熟,目前对SOAR的研究还处于探索阶段.在将SOAR平台作为企业安全架构核心的实践探索过程中仍存在相当程度的困难.

1) 传统的网络安全防护体系以安全设备的完备为目标,不可避免地存在设备堆砌导致的种类多、品牌繁、功能杂的问题,大量异构安全设备接口标准不同,导致SOAR平台接入成本高、设备能力调用笨重,无法灵活有效地面对网络威胁动态变化、防护需求动态变化的场景[9].此外,在同种类异构安全设备的应用实践中存在设备能力重叠、现有设备无法覆盖全部安全能力需求的问题.

2) 另一方面,安全事件自动化响应涉及网络资产的调配及信息查询,资产数量巨大加之信息动态变化,传统的资产管理方式无法满足资产信息敏捷录入、自动关联的需求,使得SOAR自动化流程中涉及资产信息检索及关联的动作仍需人工完成,无法最大化发挥其能力.在这种情况下,资产信息的统一查询与调配难以实现.

针对上述问题,本文提出一种以SOAR平台为基础的原子化设备及资产管理策略.通过设备能力及资产属性原子化处理,以及基于知识图谱设备安全能力与资产安全属性集成等步骤,将设备安全能力集成为易于接入及调用的标准安全编排动作,将资产安全属性集成为易于管理及查询的安全属性资产集,进而为SOAR安全编排过程提供安全设备能力及网络资产属性敏捷集成、资源高效调配、信息关联存储的能力.并在此基础上,提出并设计了3种典型的SOAR安全编排实践场景.

1 原子化设备管理策略

在保证稳定性、可扩展性和可复用性的前提下,保障业务的安全是安全设备管理的首要目的.考虑到不同设备可能来自于不同的厂商、亦或属于不同的网络节点的情况,需要通过消除其异构型及分布性以实现设备能力对SOAR平台的标准化、规范化接入.由此,安全设备管理策略必须满足如下需求：

1) 可根据业务需求灵活调整的安全设备管理策略,应对安全需求、威胁以及防护的动态变化;

2) 能够使设备信息及能力调用方式标准化,从而简化设备调度流程,降低设备集成成本,减少噪声污染.

为此,策略遵循原子化设备能力、原子化设备管理实例化2个步骤.

1.1 原子化设备能力

原子化设备能力即将安全设备由一个整体拆分为一系列标准能力集合的过程,依据美国国家标准与技术研究所(National Institute of Standards and Technology,NISTCSF)提出的企业安全能力框架(IPDRR),将设备能力细分为识别能力、保护能力、检测能力、响应能力、恢复能力5种标准能力.根据细分的结果,可以判断安全设备的安全防护对象、安全防护目标、能够提供的安全反措施等信息,根据安全防护需求、目标进行安全设备的有效调度.

1.1.1 识别能力

识别能力(identity capability)对应IPDRR框架中的识别(identity),意为识别网络资产及风险,是对系统、资产、数据以及网络所面临安全风险的发现及确认的能力,如资产识别、用户识别、访问识别、漏洞识别等能力,大多在资产发现及安全检测等场景中发挥作用.如检测存在CVE-2021-44228漏洞的资产,通过集中调用全部具备漏洞识别能力设备的接口,将满足版本号2.13.0<=Apache Log4j<=2.15.0-rc2等条件的资产信息返回,从而定位风险资产.

能够提供识别能力的设备包括资产管理平台、资产测绘平台、漏洞扫描工具以及部分终端检测和响应(endpoint detection &response,EDR)设备等.

1.1.2 保护能力

保护能力(protect capability)对应IPDRR框架中的保护(protect),即通过一定的安全措施以保障关键设施及服务的能力.设备所具备的保护能力包括阻断、隔离、鉴权、封禁IP等,其主要作用场景为基于策略的访问控制和阻断、基于安全检测能力开展的联动封堵等.能够提供保护能力的安全设备包括防火墙、WAF、VPN、抗DDoS、EDR、IPS等.

1.1.3 检测能力

检测能力(detect capability)对应IPDRR框架中的检测(detect),即通过流量分析等手段,对攻击行为、业务状态、防护措施等进行即时监控,以主动发现网络安全事件.相比于其他能力,检测能力分类更为细致,如探测扫描、漏洞利用、Web攻击、拒绝服务、账号异常等.IDS、NTA、蜜罐、UEBA等设备都能够提供一定程度的检测能力.

1.1.4 响应能力

响应能力(respond capability)对应IPDRR框架中的响应(respond),即通过合适的行动对已经发生并识别的网络安全事件进行响应和处理.设备所具备的响应能力包括事件调查、证据收集、报告事件、威胁情报查询、流量镜像等,常作用于安全事件发生或产生一定影响后,对事件进行调查、评估,并及时阻断攻击行为以遏止损失的场景.具有响应能力的安全设备包括态势感知、SIEM、SOAR、威胁情报平台等.

1.1.5 恢复能力

恢复能力(recover capability)对应IPDRR框架中的恢复(recover),即在损失产生后对系统进行恢复及对漏洞进行修复,确定事件原因并采取进一步预防措施的过程.设备可能拥有的恢复能力包括恢复系统、修复漏洞、数据恢复、业务恢复等.恢复能力往往不由单一的安全设备来提供,而是通过配置管理服务器、灾备、双活等手段完成业务、系统、数据等的灾后恢复.

1.2 原子化设备管理实例化

进一步,补充设备名称、型号、IP等基本指纹信息,用于准确描述设备,以构成完整的原子化设备实例,表1所示为2种IPS和HIDS设备的实例化结果.

以此为基础,将不同设备相同的原子化能力集成为标准安全编排动作(standard security orchestration action,SSOA),其定义如下：

SSOAcapability={equip1,equip2,…,equipn},

(1)

式(1)中,capability为各项设备原子化能力,equipn表示具备该能力的设备.

利用知识图谱实现标准安全编排动作集成.知识图谱是一种由实体、关系及属性组成的一种语义网络,亦可理解为具有有向图结构的一种知识库[10-12].节点链接图是知识图谱可视化的典型表达方式,其中以节点表示实体和属性,以链接节点的边表示关系.根据设备能力原子化结果,以设备为实体,具体原子化设备能力为属性,依据两者之间的关联关系构建图数据结构,如图1所示,图中,深色圆即设备实体,浅色圆表示为设备能力属性,两者间连线即为实体与属性间的关系.依此,实现标准安全编排动作的集成.

图1 设备-检测能力图数据结构(部分)

这一过程通过API、命令行、本地脚本等方式接入安全设备,并将各设备相同安全能力输入参数进行统一,由此将不同设备相同能力映射至同一SOAR标准动作.以保护能力-阻断IP为例,不同产品所需输入参数、格式不同,例如输入IP可分为IP、掩码、IP段等形式,同时部分设备支持阻断时间这一参数.SOAR平台标准安全编排动作统一IP输入为掩码格式,通过该动作内部逻辑将掩码转化为各设备所支持格式,同时固定所有设备的阻断时间参数为永久,由此对封装完成的各设备能力调用函数进行赋参调用.如图2所示：

图2 阻断IP标准安全编排动作逻辑

基于图1所示结构,查询漏洞利用所对应的标准安全编排动作,即图谱中漏洞利用属性,将快速关联所有具备该能力的安全设备实体,并对这些设备进行集中调配,如图3所示.

图3 漏洞利用标准安全编排动作

基于知识图谱所集成的安全编排标准动作,赋予了SOAR对多种具备相同功能的异构安全设备能力进行统一调用的能力,大幅提升剧本执行速度;同时,对于需要新增某一设备能力设备实体的情况,只需进行设备及安全编排标准动作间的对接,而无需为该设备配置独立的设备能力调用动作.另一方面,依据该策略,可以对企业安全能力的缺失和冗余情况进行有效分析,从而进行有针对性的安全能力补足与精简,以防止设备能力调用遗漏产生的安全风险及冗余产生的噪音干扰.

2 原子化资产管理策略

网络安全视角的资产管理特指网络资产管理,即包括服务器、终端、安全设备等在内的物理硬件,以及包括业务应用、信息系统、操作系统等在内的软件[13].从安全编排角度出发,资产管理需要对资产的安全相关信息进行有效表达,并能够提供这些关键信息的快速检索能力;同时,需要具备资产关联查找能力.为此,要求将各资产原子化为一系列安全属性,并标准化各安全属性以形成相应的属性资产集合进行集成管理.

2.1 原子化资产安全属性

原子化资产安全属性即将一项网络资产由整体拆分为一系列安全相关属性集合.在这一过程中,仅关注安全编排所需的资产安全相关信息,而不对诸如资产名称、IP、注册时间等基本信息进行原子化拆分.

2.1.1 归属系统

除终端类资产外,包括服务器、数据库在内的大部分网络资产都隶属于特定应用系统.资产所属系统是进行威胁跟踪溯源的重要标识,对于识别虚实地址转换、NAT地址转换、追踪渗透路径具有重要意义.一项资产的所属系统具有唯一性,同时同一系统下资产的该标签也需严格一致.

2.1.2 网络域

网络域是多数企业网络拓扑结构的重要形式,域内资产之间具有较为宽松的访问控制,相应地,域内资产间的横向渗透也更为轻松.从攻击溯源角度出发,网络资产所属网络域的准确标注是确定渗透攻击状态、追踪渗透攻击路径的重要依据;另一方面,网络域同样反映了资产的重要程度,处于DMZ区和运维区域的设备抗风险能力不同,遭受攻击所带来的威胁程度也不同,在安全编排过程中有必要依据这些信息进行事件的分级分类管理.

2.1.3 漏洞

基于资产漏洞信息的威胁告警分析以及下发漏洞整改任务是SOAR的重要应用场景,主流的EDR,HIDS等设备具有识别主机漏洞能力,在进行资产信息导入时即可根据资产管理存储结构标注资产漏洞.对于通过其他手段录入的资产信息,则可根据资产类型、系统版本、中间件版本、数据库版本等信息,或者漏洞扫描工具扫描结果,对资产漏洞属性进行添加.

2.1.4 资产类型

不同类型资产所面临的安全风险不同,其威胁排查整改措施也存在差异.例如,以负载均衡设备为目标的安全事件通常意味着需要进一步定位事件真实的受害者.同时,资产类型也是辨别资产重要程度的依据之一,可根据安全事件所涉及资产的重要程度对事件的等级及优先级进行定义,从而更合理地进行安全编排资源的调配.

2.1.5 负责人

负责人信息的标注为快速协调威胁、风险排查、快速定位威胁原因、快速开展威胁响应及风险排查整改提供了支持.在安全事件响应过程中,受安全策略影响,SOAR系统与安全事件响应人员可能并不具备事件涉及资产的登录、查询、操作等动作的权限,这种条件下,负责人信息为安全编排过程中的资源快速协调提供了条件.

除上述属性外,资源原子化安全属性还需要资产服务、进程、监听端口、Web应用框架等重要信息.

2.2 原子化资产管理实例化

进一步,对资产名称、IP、注册时间、物理位置等基本指纹信息进行采集,以结合安全属性对资产进行准确描述,从而构成完整的原子化资产实例,如表2所示：

表2 原子化资产实例化样例

以此为基础,通过安全属性资产集(security attribute asset sets,SAAS)对具有相同安全属性的资产进行表达,定义如下：

SAASattribute={asset1,asset2,…,assetn},

(2)

式(2)中,attribute为各安全属性,assetn表示具有该属性的资产.依托于数据中台,通过API、kafka、syslog、xml、人工录入等方式,对资产测绘、流量感知、EDR、CMDB、终端准入、堡垒机、漏扫[13-15]等来源资产信息进行接入,并在数据源可信度分析、字段可信度分析、唯一标识判定、数据去重/融合/富化等步骤处理下,将资产数据映射至原子化资产实例化样例各字段,由此实现多源异构资产数据的统一接入.基于此,利用知识图谱构建资产及安全属性间的关系图数据结构,实现安全属性资产集的集成.通过该结构对某一漏洞对应的安全属性资产集进行查询,将自动关联相关资产,如图4所示.

图4 CVE-2016-5195漏洞安全属性资产集

基于此,可通过安全属性资产集的检索构建漏洞涉及资产快速查询、安全实践影响资产快速定位等场景.

3 基于原子化管理策略的SOAR实践

面对威胁持续动态变化的实际场景,原子化设备及资产管理策略解决了设备能力缺失、冗余以及集成困难的问题,也解决了资产管理混乱、关联弱的问题,能够高效地实现多种安全编排场景.

3.1 漏洞利用威胁排查

漏洞利用是攻击者获取系统权限的重要途径,其攻击手段多样、攻击频率高,单纯基于人工的漏洞利用事件分析极为困难.基于原子化设备及资产管理策略,构建漏洞利用威胁排查剧本,流程如图5所示.该场景循序如下流程：

图5 漏洞利用威胁排查剧本流程

1) 根据目标资产归属系统,查找关联资产;

2) 判断攻击结果,如成功,根据受害资产漏洞信息判断威胁准确性,如存在该漏洞,立即通知资产负责人整改,并跳转至步骤3),否则,优化威胁检测策略;

3) 通过标准安全编排动作,查询WAF、IPS、IDS、HIDS、态势感知等设备攻击IP是否存在其他攻击行为,如不存在,跳转至步骤5);

4) 查询攻击者IP信誉情报,如攻击者为恶意IP,则在出口防火墙处封禁该IP;

5) 关闭事件.

依托于原子化管理策略,SOAR能够实现在单一的剧本动作中对异构安全设备的能力调用及资产的关联查询,同时具备敏捷增加标准安全编排动作设备实体的能力,由此,一方面极大简化了剧本流程,另一方面使得同一剧本面对威胁、防护需求动态变化的情况将具有更好的鲁棒性.

3.2 内网横向取证响应

受限于流量检测设备吞吐能力,目前大部分企业无法对东西向流量实施全面实时的威胁检测,使得横向渗透阶段服务器间的内网横向攻击难以识别和取证.依赖于SOAR快速自动化指令下发能力,当服务器主机遭受成功攻击后,通过下发受害主机流量取证工具将其东西向流量镜像,并依赖IDS等设备的威胁检测能力,能够对该主机遭受及发起的横向攻击进行有效检测,由此构建自动化场景流程如下：

1) 调用设备流量镜像能力,下发流量取证工具至受害主机,将该主机东西向流量镜像至异构流量检测设备;

2) 检测受害主机发起的横向渗透攻击行为,定位目标IP;

3) 参考漏洞利用威胁排查过程,判断目标IP遭受威胁准确性,进行负责人通报或检测策略优化;

4) 人工审核判断是否进行受害主机的隔离,以调用封禁IP动作在相应内层防火墙对主机进行阻断、调用主机隔离动作对其进行隔离;

5) 关闭事件.

剧本流程如图6所示.精简的剧本动作直接关系剧本执行速度,原子化设备及资产管理策略为SOAR平台提供了敏捷的异构流量威胁检测、主机漏洞识别能力以及快速内网威胁统一响应能力,能够保障内网渗透东西向流量取证及威胁响应的时效性和稳定性.

图6 内网横向取证响应剧本流程

3.3 漏洞检测及补丁下发

针对海量资产的漏洞检测及修复是极为繁琐的过程,原子化设备及资产管理策略赋予了SOAR平台资产漏洞排查及漏洞补丁下发的能力,由此,可以构建资产漏洞自动化检测及补丁下发场景,通过定时漏洞排查修复任务,在漏洞信息及补丁发布并完成验证后,第一时间完成对资产漏洞的全面排查及修复,其流程如图7所示：

图7 漏洞检测及补丁下发剧本流程

该自动化场景循序如下流程：

1) 调用设备漏洞识别能力,更新资产漏洞属性;

2) 获取漏洞影响资产列表,并由人工审批任务涉及资产;

3) 漏洞补丁下发,此步骤通过EDR或定制agent实现补丁适配性检测及下发,如补丁版本不适配资产或下发失败,通知资产负责人;

4) 关闭事件.

通常可以在SOAR平台中维护一个漏洞列表,该列表关联资产漏洞属性,并涵盖其中全部项.由此可以在特定漏洞检测及修复工作以外,在特定时期依据列表中内容对资产进行全面的漏洞排查修复工作.

4 结 语

基于SOAR的安全编排是提升安全响应效率、降低安全运行成本的有效策略,但由于企业网络安全设备多样、网络资产数量巨大,给安全设备及资产的管理、调用及查询带来极大困难,面对网络安全威胁呈动态变化发展趋势,无法满足安全需求及防护技术动态变化的要求.针对上述问题,本文提出了原子化设备及资产管理策略,赋予SOAR平台安全设备、网络资产能力敏捷集成、资源高效调配、信息关联存储能力,并设计了与之相结合的安全编排实践场景,为基于SOAR技术的网络安全动态防护提供了思路.下一步,将对原子化设备及资产管理策略在SOAR剧本中的进一步结合应用进行研究,以探索更广泛的安全编排与自动化响应落地应用场景.