自动化事故响应
时间:2023年5月6日 星期六
作者:小王
一、理解安全编排自动化与响应(SOAR)
SOAR是一组技术,允许组织自动化的响应某些事故,简单原理是管理员提前定义什么事件以什么动作处理,如一台电脑中病毒,则自动配置交换机端口将其隔离。
1.场景手册(Playbook)
描述了各类攻击场景下验证和响应事故的过程。
2.运行手册(Runbook)
将场景手册的过程自动化实现。
3.例子和区别
• 场景过程:U盘恶意病毒感染主机,执行主机杀毒并隔离,病毒清除主机解除隔离。
• 自动化实现:采集系统插入U盘和杀毒软件检测到病毒的日志,下发策略到主机防火墙隔离主机,杀毒软件执行病毒查杀,病毒清除后主机防火墙策略恢复。
场景手册的主要目的是记录运行手册应该做什么动作,运行手册来自动化的实现场景手册的内容。
二、机器学习和人工智能工具(ML && AI Tools)
1.机器学习(Machine Learning)
机器学习是人工智能的一部分,指的是能够通过经验来自动提高能力的系统。
2.人工智能(Artificial Intelligence)
人工智能是一个广泛的、不断发展的领域,使机器能够执行拥有人类智能才能完成的任务。
3.区别和应用
人工智能包括机器学习,最大的区别在于是否是零知识开始(人工智能会为自己建立规则,机器学习依靠人设置的规则),典型应用的例子是AlphaGo(围棋)。基于行为的检测系统是机器学习和人工智能在信息安全方面的应用。
三、威胁情报(Threat Intelligence)
威胁情报是指收集潜在威胁的数据,形成威胁情报库共享自己或他人用于提前预防威胁。
1.理解杀伤链
杀伤链(kill chain)是军方一直使用用于战争对抗的,只要使过程中任意一步中断,就能挫败攻击者,基于此Lockheed Martin创建了网络杀伤链框架(Cyber Kill Chain framework)。
• 侦察(Reconnaissance):攻击者获取目标的信息。
• 武器化(Weaponization):攻击者识别目标的漏洞并研究利用的方法。
• 投递(Delivery):攻击者向目标发送武器。
• 利用(Exploitation):攻击者用武器利用漏洞。
• 安装(Installation):攻击者利用漏洞安装远控。
• 命令与控制(Command and Control):攻击者实现C2能力。
• 目标行动(Actions on objectives):开展任何想做的事情。
2.理解MITRE ATT&CK
MITRE ATT&CK矩阵(由MITRE创建,全称为Adversarial Tactics, Techniques, and Common Knowledge)是攻击者在各种攻击中使用的已识别战术、技术和程序(tactics, techniques and procedures, TTPs)的知识库。
https://attack.mitre.org/
3.威胁源
威胁源(threat feeds)指的是与潜在威胁相关的原始数据,通常无法直接使用。威胁情报源(threat intellgence feed)试图从威胁源中提出有意义的数据,用于检测和响应潜在威胁,通常提取可疑IP、域名、邮箱、哈希等内容。
4.威胁狩猎
威胁狩猎(threat hunting)是在网络中主动搜索网络威胁的过程。安全人员可以利用威胁情报在组织网络中主动出击,使用杀伤链模型来追踪各个阶段的可疑行为。
四、技术整合
ML && AI可以帮助SOAR建立场景,借助威TI提高精准度,可不断完善SOAR检测和响应的能力。