网络安全先进技术与应用发展系列白皮书：安全编排自动化响应.pdf

版权声明：本2019世界人工智能大会网络安全先进技术与应用发展系列白皮书安全编排自动化与响应（SOAR）白皮书版权属于出品方共同所有，并受法律保护。转载、摘编或利用其它方式使用白皮书文字或者观点的，应注明来源。违反上述声明者，出品方将追究其相关法律责任。中国信息通信研究院安全研究所 | 杭州安恒信息技术股份有限公司安全编排自动化响应网络安全先进技术与应用发展Response响应Automation自动化编排Orchestration协同CoordinationCaseManagement事件管理安全SecurityS AR系列白皮书中国信息通信研究院简介中国信息通信研究院始建于1957年，是工业和信息化部直属科研事业单位。多年来，中国信通院始终秉持“国家高端专业智库 产业创新发展平台”的发展定位和“厚德实学 兴业致远”的核心文化价值理念，在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用，为我国通信业跨越式发展和信息技术产业创新壮大起到了重要推动作用。 中国信息通信研究院安全研究所简介中国信息通信研究院安全研究所，是专门从事信息通信领域安全技术研究的科研机构，主要职责包括开展信息通信安全防护的战略性和前瞻性问题研究，加强信息通信新技术新业务评估，为国家主管部门有关网络信息安全发展战略、决策、规范的制定提供强有力的技术支撑。安全所拥有雄厚的网络信息安全技术评估评测能力以及高端的专业网络信息安全支撑团队，承担大量重大网络信息安全专项科研课题，牵头制定大量国际国内网络信息安全标准规范，对前沿信息安全技术的研究有深厚积累。杭州安恒信息技术股份有限公司简介杭州安恒信息技术股份有限公司于2007年成立，一直专注于网络信息安全领域，主营业务为网络信息安全产品的研发、生产及销售，并为客户提供专业的网络信息安全服务。产品及服务涉及应用安全、大数据安全、云安全、物联网安全、工业控制安全及工业互联网安全等领域。公司秉承“助力安全中国、助推数字经济”的企业使命，以“诚信正直，成就客户，责任至上，开放创新，以人为本，共同成长”作为企业的价值观，不断提高核心技术创新能力，致力于成为一家具有优秀企业文化和社会责任感的新时代网络信息安全产品和服务提供商。作为国家级核心网络技术单位，安恒信息拥有一支超过数百人的国家级网络安全保障实战团队，具备一流的网络与信息安全技术能力和丰富安全攻防经验。曾作为网络安全核心保障单位参与2008北京奥运会、广州亚运会、上海世博会、历届全国人民代表大会、历届中国共产党全国代表大会、历届世界互联网大会、G20杭州峰会、一带一路国际合作高峰论坛、金砖国家领导人厦门会晤、上合组织青岛峰会、上海进博会等重大活动网络安全保障工作。03AiLPHA大数据实验室主要致力于大数据和人工智能在网络安全领域的前沿技术研究和产品研发，为公司新型产品孵化提供平台。实验室成立三年时间，研发人员近200人，专利申请128项，国内外论文发表十余篇。孵化的产品不断推陈出新、优化迭代、引领行业，案例覆盖政府、金融、运营商、医疗、教育、能源、交通、军工等20多个行业领域，地域省份覆盖30个。实验室多次承担参与国家级、省部级科研项目和研究中心创建，2018年在国家发改委牵头下成立大数据网络安全态势感知及智能防控技术国家地方联合工程研究中心，通过全力打造产、学、研联合创新模式，促进科技成果转化，助力国家网络安全能力建设。大数据实验室简介1990年万维网的诞生深刻地改变了人类社会和经济的发展进程。千禧年后，由海量数据暴增、计算机算力提升、万物互联互通等因素的驱动，网络已经成为人们日常生活中不可分割的一部分。互联网给人们带来便捷生活、经济价值、科技体验的同时其安全威胁也如影随形。然而，传统安全数据中心的配置繁琐而易错，使当前安全运维团队面临巨大挑战，网络安全服务的质量亟需提高。智能技术的发展促使安全运维逐渐从劳动力密集型行业转向技术密集型行业，从最初的防火墙、虚拟局域网、安全运营中心（Security Operation Center, SOC），到2005年安全信息及事件管理（Security Information Event Management, SIEM）的应运而生，再到用户实体行为分析（User and Entity Behavior Analytics, UEBA）、终端检测与响应（Endpoint Detection and Response, EDR）、安全编排自动化响应（Security Orchestration Automation and Response, SOAR），安全技术的防护内容和防护手段都在不断更新精进。回溯安全运维发展的整体趋势，SOAR的诞生开启了安全运维拥抱智能化的新时代，通过对安全事件的智能化编排和自动化响应，对安全威胁做出了更加全面高效的应对。本白皮书首先将全面阐述SOAR的概念、内涵和核心性能；其次，从威胁信息和事件数量多、人力不足且经验难固化、设备孤立技术整合度低、安全保障政策法规要求高四方面分析新形势下网络安全团队面临的挑战，并且找到SOAR如何满足这四方面网络安全需求的应对之道；再次，对国内外领先的网络安全企业运用SOAR技术的优秀案例进行介绍；最后，对SOAR未来面对的机遇与挑战给予展望。对当前SOAR技术的深入研究，不仅有利于深刻认识安全威胁的现状，也将有助于进一步探索人工智能时代对新型威胁的应对方式。Contents06 0910 1314 1520 21 2216 19目录一. SOAR的概念变迁二. SOAR的技术内涵三. SOAR的核心能力一. 威胁信息和事件数量多二. 人力不足且经验难固化三. 设备孤立技术整合度低四. 安全保障政策法规要求高一. 集成化处理海量威胁情报二. 流程化释放优化劳动力三. 自动化加强人机融合四. 智能化满足合规要求一. 失陷终端的研判与处置二. 复杂威胁的交互式实时调查三. 威胁事件的快速响应与决策四. 恶意软件的告警和审核一. SOAR潜在市场激增二. SOAR被嵌入趋势仍在结语SOAR的概念与内涵 新形势下网络安全团队面临的挑战SOAR的智能化应对方案SOAR未来的机遇与挑战行业最佳案例实践0504一. SOAR的概念变迁2015年，Gartner首次提出SOAR概念，将其定义为一种对利用机器读取的、有状态的安全数据提供报告、分析和管理的能力资源，为整个运营安全团队提供支持。1当时SOAR被定义为安全运维分析与报告（Security Operations, Analytics, Reporting, SOAR），可以看出SOAR对安全数据和事件分析的能力已经开始展现。随着SOAR市场的逐步成熟，2017年Gartner对SOAR进行了全新的概念升级，将SOAR定义为安全编排自动化与响应（Security Orchestration Automation and Response, SOAR）。对于新SOAR，Gartner也做出了新的解释，将其定义为使组织能够收集不同来源的安全威胁数据和告警的技术，这些技术利用人工与机器的组合来执行事件分析和分类，从而根据标准工作流帮助定义、确定优先级并SOAR的概念与内涵Claudio Neiva, Craig Lawson, Toby Bussa, Gorka Sadowsi, Innovation Insight for Security Orchestration, Automation and Response. Gartner Report, 30 November 2017.同上。Claudio Neiva, Craig Lawson, Toby Bussa, Gorka Sadowsi, Market Guide for Security Orchestration, Automation and Response Solutions. Gartner Report, 27 June 2019.图1 收购厂商 被收购的SO AR厂商 时间 收购金额 FireEye (Helix) Invotas 2016年2月 3千万美元IBM Resilient System 2016年4月 1亿美元Service Now Brightpoint Security 2016年6月 Microsoft Hexadite 2017年6月 1亿美元Rapid7 Komand 2017年7月 5千万美元Splunk Phantom Cyber 2018年2月 3.5亿美元Palo Alto Networks Demisto 2019年2月 5.6亿美元推动标准化的事件响应活动。2此时的SOAR将安全编排和自动化（Security Orchestration and Automation, SOA）、安全事件响应平台（Security Incident Response Platforms, SIRPs）和威胁情报平台（Threat Intelli -gence Platforms, TIPs）这三种技术相融合。融合后的SOAR技术在内生性功能不断发展的同时，供应商也利用其平台不断增加SOAR的新功能，囊括了很多SOAR提出之初不曾涉及到的领域。特别是自2016年以来大公司对SOAR公司的收购，如图1所示，使SOAR的解决方案被嵌入到更大的应用领域。可以看出，2019年后SOAR的发展路径将由SOC优化、威胁检测和响应、威胁调查和响应以及威胁情报管理来驱动。3 07062016.22019.2SOAR厂商收购表1 2 3Claudio Neiva, Craig Lawson, Toby Bussa, Gorka Sadowsi, Market Guide for Security Orchestration, Automation and Response Solutions. Gartner Report, 27 June 2019.二. SOAR的技术内涵1. 编排随着网络安全攻击数量和种类的剧增，应对网络安全事件的技术也在迅速增多，但多种技术更多的是被单独的运用于解决安全事件，这导致安全事件解决效率低下。面对愈发复杂的网络攻击，SOAR的运用能够有效的通过编排降低不同技术间转换需耗费的人力、时间成本。更为重要的是，SOAR是将人和技术都编入业务流程中，创建手动和自动协同操作的工作流步骤。SOAR的编排体现的是一种协调和决策的能力，针对复杂性的安全事件，通过编排将分析过程中各种复杂性分析流程和处理平台进行组合。分析涉及多种数据或平台，如SIEM分析平台、弱点管理平台、情报数据、资产数据等。处置响应的编排也涉及到很多平台或设备，如EDR管理平台、运维管理平台、工单管理平台、WAF设备、防火墙等。仅仅以技术为中心的安全保障已不再能满足现状，将人员和流程的编排才能保证安全流程真正高效的运行。SOAR的终极目标就是实现技术、流程、人员的无缝编排。2. 自动化尽管自动化和编排不是同一个概念，但经常被互换使用。实际上，自动化是编排的一个子集。它允许剧本（常称为Playbooks）在安全流程的部分或全部内容上执行多个任务，将线性剧本串联起来。虽然线性剧本可能更容易创建，但只适用于处理决策需求较少的工作流。编排和自动化比线性剧本的最大优势就是其灵活性，为支持全自动化和半自动化的决策，需要更加灵活的工作流和执行剧本（Runbook）。SOAR能够识别这些决策模式，并基于以往事件中的执行操作，自动推荐新事件的剧本、执行剧本操作流程，自动化分析决策，根据决策结果自动下发防护阻断的行动策略。3. 响应事件响应是SOC操作中非常复杂的部分，理想状态下，它将是一个有效的动态过程，涉及数十种相互关联的技术、IT、业务流程和整个组织的人员，如图2所示，将是持续性适应风险和信任评估（Continuous Adaptive Risk and Trust Assessment, CARTA）策略用于在持续监测和可视性方面时，SOC团队可使用SOAR技术执行连续活动，利用SOAR技术通过智能化编排与响应最大程度的将已有安全（资料来源：Gartner “ Market Guide for Security Orchestration, Automation and Response Solutions”报告 4）图2PrioritizeRespondBusinessIntelSource: GartnerID: 389446DetectTriageSecurity Orchestration, Automation and Response: An OverviewCollectRisk DecisionMakingMeasureSOARThreatHuntingRomediateInvestigationWorkflowHumanInterventionThreatIntelligenceOrchestration4技术进行整合，提高整个安全事件的解决能力和效率。基于编排和自动化前期对事件的分析，SOAR所提供的响应技术是完善整个事件生命周期，提高解决安全威胁效率的关键一环。本质上，SOAR的最终目标是促进安全团队对事件有全面的、端到端的理解，完成更好、更明智响应。4. 案例管理案例管理是SOAR响应过程中基本且重要的功能，例如实施案例追踪、记录事件发生时采取的行动、提供关键指标以及生成报告。SOAR的案例管理在原有的基础上加强了对事件响应生命周期和自动化的强调。事件管理贯穿整个事件生命周期，包括对事件阶段和目标的追踪，任务细节的追踪（如任务下达、时间耗费、运行状态、资产管理），证据链的追踪以及指标和样本的追踪等。自动化的联动处置和报告生成是SOAR案例管理缩短事件应对时间最有效的方法。5. 协同合作SOAR的协同不仅仅是剧本中各个环节的协调，也是机器与人的合作。对于剧本协同而言，从事件启动编排就开始了，发现、调查、决策、行动，每一个步骤的完成在SOAR的编排与自动化之后都可以自动触发下一个步骤，甚至同时开启另一个步骤。这样的协同机制使整个安全事件处理过程更加高效、清晰。对于人员配合而言，SOAR提供的是安全团队成员间的无缝协作和信息共享。拥有权限的安全人员能够随时查询其协作应对的事件运行状态，并且其他成员也能共享操作流程信息。此外，威胁情报的信息共享也是SOAR信息共享的重要机制，很多安全企业都开始建立自己的情报库，并且通过情报共享机制扩大情报库存。三. SOAR的核心能力1. 定制化不同的安全事件、不同的用户需求使定制化的安全事件响应方案成为当前安全技术发展的重点突破点。SOAR像一把“多功能手术刀”，针对不同的环境、场景需求能够提供最为合适的方案。以多数据的输入为例，其可以支持机器人、电子邮件、用户提交和手动输入等多种方式，对于威胁情报的拦截也可以定制化操作。例如，安恒的SOAR在识别到威胁情报之后做出三次处理，当第一次发现该威胁情报时实施2小时拦截，第二次发现时实施24小时拦截，第三次发现时实时永久性拦截，拦截时间的长短可以定制化调配实现。这种基于攻防对抗和成本收益分析的解决方式不仅大大降低了威胁的误报率，也可根据用户的需求制定更加合适的拦截方案。2. 灵活化大量商业性的、开源的或自主研发的安全解决方案就意味着SOAR必须具备强大的灵活性来满足不同的安全产品需求。开箱即用的工具箱是SOAR灵活性的典型体现，能够允许用户轻松的创建与默认不支持的安全产品的双向集成，实现服务化的插装机制和集成式的自适应模式。灵活集成的方式可能各有不同，但基本都遵从多数据源接入集成。将各种安全能力通过标准化接口进行集成，实现对不同实例，支持安全能力的插装，实现按需弹性和可扩展。3. 联动化Gartner将SOAR编排形象的比喻为一场音乐会的演奏，未使用SOAR之前，各种乐器单独演奏，演奏家们需花费时间将乐器拿起和放下做切换；SOAR部署之后，如同有了指挥家指挥所有乐器按乐谱编曲同时进行演奏，大大缩减了乐器间的切换时间，并且使整场演奏更加流畅、悦耳。这一比喻准确的反映了SOAR联动化特性，通过将不同环节、不同设备、不同人员间进行联动，实现了人机一体化，将智能化安全技术优势发挥的淋漓尽致。定义南北向接口，通过南向接口实现安全设备、安全服务的集成，将孤立的设备进行有效的联动，把零散的安全能力进行整合，形成安全能力栈。通过安全编排自动化和响应对外提供服务，同时实现威胁信息的共享和安全数据的汇聚、风险，有效提升安全运营的效率和效果。0908一. 威胁信息和事件数量多近年来，威胁信息的数量不断攀增，人们面临的网络安全威胁形势日益严峻，低烈度的网络对抗不断加剧。虽然网络战的定义尚未统一，但低烈度的网络冲突一直持续发生。据全球专业网络安全机构发布的各类高级持续威胁（ APT）研究报告，APT28、Lazarus、Group 123、海莲花、MuddyWater等53个攻击组织对国防、政府、金融、外交和能源等领域进行了强势攻击。根据我国国家计算机网络应急技术处理协调中心（CNCERT）发布的2018我国互联网网络安全态势综述，国家互联网应急中心协调处置网络安全事件约10.6万起，捕获勒索软件近14万个。图3显示了自2016年至2019年7月我国国家信息漏洞库（CNNVD）发布的新增漏洞数量，明显看出近三年来漏洞数量激增，2016年全年漏洞新增量已经小于2019年半年的增加量。二. 人力不足且经验难固化网络环境复杂性的增强，安全事件攻击手段的提升使网络空间的攻防战愈发激烈，传统的人工应对方式已经完全不足以解决当前数量巨大、变化多端的威胁信息和夜以继日地攻击。通过人力完成对这些网络事件的应对，已经变得难上加难，主要体现在两方面。一方面，网络安全人才短缺难以应对激增的网络安全事件。根据2018年 (ISC)网络安全劳动力研究报告显示，全球五大洲的网络人才短缺如图4所示，其中，亚洲面临全球最大的网络安全人才短缺，各机构都难以找到合格的网络审计师、审查员和测试员。5安全分析师每天收到的报警远远多于他们实际可以处理的告警量。此外，亚太地区金融部门网络安全要求报告表明当前审计师在网络安全方面的专业水平较低，审查员之间的标准、方法和优先级不一致，使得网络安全和合规工作进一步复杂化。6新形势下网络安全团队面临的挑战z8359117071504095290200040006000800010000120001400016000图3 图表来源：笔者根据国家信息漏洞库2016年1月至2019年7月安全信息漏洞通报（月报）数据整理而成2016年- 2019年 上 半 年 漏 洞 新 增 数 量2016年1月2019年7月漏洞新增数量统计图2016年 2017年 2018年 2019上半年（1-7月）21 Cybersecurity Professionals Focus on Developing New Skills as Workforce Gap Widens, (ISC), 2018), isc2/-/media/ISC2/Research/2018-ISC2-Cybersecurity-Workforce-Study.ashx?la=en&hash=4E09681D-0FB51698D9BA6BF13EEABFA48BD17DB0威廉c卡特，威廉c科鲁波，杨乐译，亚太地区金融部门网络安全要求，信息安全与通信保密2019年，第6期。561110资料来源：笔者整理于报告”Cybersecurity Professionals Focus on Developing New Skills as Workforce Gap Widens” (ISC)CYBERSECURITY WORKFORCE STUDY, 2018另一方面，安全分析师的经验难以固化。一名优秀的安全分析师的培养需要投入大量的资源，但分析师所具备的能力大多是依靠处理大量安全事件后其总结经验形成的。因此，分析师的经验不能迭代固化就意味着每培养一名合格的分析师都需要长期的经验积累，这将延缓整个安全体系人才建设的步伐。而且，近年来，随着企业对网络安全人才的需求增加，安全分析师也开始频繁跳槽，对于安全企业而言安全分析师是其核心竞争力之一，经验丰富的分析师离职无疑对公司也是一笔巨大的损失。此外，面对影响范围越来越大的网络攻击，事件响应和应对时间必须要更快才能止损更多。然而，Verizon的数据泄露调查报告，DBIR指出，虽然当前事件检测平均时间可以达到4小时，但形成解决方案的时间超过4个工作日，对于攻击者而言，一旦攻击目标击中其造成的威胁时间通常以分钟来衡量。7三. 设备孤立技术整合度低目前各单位和公司采用的网络安全建设主流方案为部署大量的基于单点工作机制的网络安全防护、审计产品，通常为防火墙(FW)、WEB应用防火墙(WAF)、入侵检测/防御设备(IDS/IPS)、日志审计、数据库审计、访问控制等传统产品。这些产品都是基于单点的工作机制，网络安全技术之间的整合度低、联动性不强使得在应对网络安全事件时不能高效率的处理事件。而且，安全操作仍然主要依赖手动创建和维护基于文档的操作过程，这将导致较长的分析师入职时间、陈旧的过程流程、群组知识和执行操作功能中的不一致性等问题。因此，不论是安全技术的整合程度低下，亦或是安全操作人员的整合能力不足，都会降低分析规则的更新，无法应对持续性的高级安全威胁和关联大量安全事件进行综合分析，发现隐蔽的安全事件等。四. 安全保障政策法规要求高随着全球网络安全意识的普遍提升，各国不仅从国家战略层面开始顶层设计保障网络和信息安全，也开始对网络威胁应对提出了更多的合规性要求。例如，我国网络安全法中明确要求若发生任何网络安全缺陷、漏洞或不安全事件，网络运营商立即向受影响的用户和相关政府部门报告。2018年1月正式实施的公共互联网网络安全威胁监测与处置办法，要求相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等加强网络安全威胁监测、处置和通报。2019年5月，发布的信息安全技术网络安全等级保护基本要求（等保2.0）， 其对象范围在传统系统的基础上扩大了云计算、物联网、大数据等，标准内涵增加了测评活动安全管理、网络服务管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容，对安全保障工作提出了更高的要求，安全保障技术需要加速更新完善。此外，2018年欧盟颁布的史上最为严格的数据管理条例通用数据保护条例（General Data Protection Regulation，GDPR）事件响应的要求也大大提升，条例要求全球任何从欧盟公民收集的个人数据组织，无论其公司是否位于欧洲，将在72小时以内通知当局数据泄露行为。图4全球网络安全人才短缺数量统计表网络人才劳动力短缺量区域 北美 拉美 欧洲、非洲、中东 亚洲 全球49.8万 13.6万 14.2万 214万 293万7 “Incident discovery and containment: Average is over. | Verizon Insights .” 21 Jul. 2017, verizonenterprise/verizon-insights-lab/VES/incident-discovery-and-containment-average-is-over-. Accessed 8 Mar. 2018.1312SOAR的智能化应对方案一. 集成化处理海量威胁情报SOAR在威胁情报供应商中扮演者愈发重要的作用，实际上，SOAR在SOC发挥的核心作用使其能够非常合适的被运用于验证威胁情报的质量，通过验证告警的真实性，SOAR可以对以往威胁情报进行再审核。这使得传统以被动防御为主，不能在海量日志中聚焦高威胁入侵行为的现状得到缓解。同时SOAR也可以集成威胁情报库，将控制反转IoC(Inversion of Control)信誉库、安全事件库、网络资产库，专家情报库等多源情报资源进行汇聚，与可疑情报进行碰撞，大大提高了威胁情报的识别率。此后，通过将验证后的威胁情报推送到组织中的所有工具和安全控制中，利用其各自的手段进行分析。SOAR对能力安全数据的集成分散能力，为安全团队提供广泛的功能来响应所有类型的威胁。二. 流程化释放优化劳动力安全事件的收集通常通过与SIEM平台集合来实现，但SIEM的运行成本和人工成本很高。SOAR则可以通过流程化的方式将解决方案自动生成事件进行调查，前期能够避免为了发现威胁而需投入的大量人力物力，中期能够简化手动操作创建事件的繁琐流程，后期能够自动生成分析报告。通过有效的第一次传递告警，能够减少数据噪音和安全分析人员后续的工作量。此外，传统的分析因为人工操作占比很重，所以分析人员的错误也能直接导致事件分析的结果出错。SOAR通过智能分析将事件中重复的、常规的部分交给机器完成，这就使分析师集中更多的时间投如到调查和响应事件而非将时间消耗在执行调查所需的数据收集上。三. 自动化加强人机融合SOAR技术的突出优势之一就是提供了多数据源的汇集平台，将大量的点单数据都接入SOAR，加大数据源头的网罗和监测。数据源的数据可进行事故分析和分类，利用人机结合的方式对事件进行定义、划分优先级，并建立标准化事件的工作流程。更重要的是，将人工智能技术引入自动化编排之中，能够通过人机结合，使人员、流程、技术无缝融合在一起。这一过程不单单是对剧本流程的整合，也是对安全技术和安全人员的整合，大大缩短了反应时间。一方面，智能化编排能将经验最丰富的安全人员的知识和经验提炼为一个易于重复的过程；另一方面，智能化编排能将程序中繁杂简单的工作转移到机器上，不仅提高分析效率也将分析师的经历集中于更有价值的活动中。以往，随着报警量的增加，分析师经常会被海量的信息所淹没，导致他们忽视某些关键线索。经验丰富的分析师可能根据不完整的信息和事件做出直觉性的判断，但准确性并不高。通过自动化编排的剧本，每个剧本都会收集相同的数据，每次都以相同的方式研究和存储每个剧本，大大提高事件分析准确性。四. 智能化满足合规要求网络安全面临的严峻态势，使各国各组织都开始采取合规性措施应对。面对新一轮的合规要求提高，SOAR技术通过丰富的模型编排、场景设置对边界防护、垃圾邮件防范做出高效的发掘和应对。智能化的模型编排、算法优化使数据保护符合多场景的应用。通过对网络关键节点的检测，内外部攻击的回连，AI引擎的驱动大大提升入侵检测的能力。同时，面对不断出台的新法规，一些网络安全企业已经开始从建立法律法规库方面加强数据合规性。例如，IBM Resilient已经开始建立法律法规库（Private Base），将国际安全标准、欧盟的通用数据保护条例、中国的网络安全法等法律法规纳入其中，保障数据的合规性。14 15行业最佳案例实践一. 失陷终端的研判与处置勒索和挖矿事件经常在涉及到国家关键基础设施的重点行业发生，已经造成数以亿计的经济损失。安恒AiLPHA大数据智能安全平台将人工智能与SOAR结合，在医疗、教育、金融行业已经取得很大成效，以下是AiLPHA在医疗行业运用SOAR技术工具的典型案例之一。AiLPHA会针对每一个主机建立流量行为基线，当主机被远控木马植入时，AiLPHA通过人工智能 RPCA-SST 算法滤除人为上网行为的噪声，检测出主机存在回连未知地址和数据泄露的特征，联合EDR发现进程存在文件篡改行为，研判分析其为变种木马，自动下发EDR文件隔离策略和防火墙流量阻断策略，及时阻断数据泄露风险。同时调用Sherlock对木马文件追踪溯源，发现其通过钓鱼邮件植入，办公网中多个主机收到过同样邮件。继续联动漏洞扫描器和EDR对相关资产进行检测与响应。最终将该新型变种木马的文件hash、远控域名、发件邮箱加入威胁情报库，并将相关流量、日志和处置过程通过邮件通知安全管理员进一步应急分析。这一完整的对失陷终端的响应过程就是SOAR创建的剧本，体现了SOAR如何动态实现编排与自动化。二. 复杂威胁的交互式实时调查8随着安全报警种类和数量的增加，标准化的流程不足以对每个安全警报做出响应。除了运行自动化操作外，对安全攻击的调查还需要额外的实时应对，例如对可疑指标进行药企将安全事件解析时间从84分钟缩短到不到2分钟。该药企每年需处理的安全事件数量高达5000起，在全球设有四个安全团队，且每个团队都有自己的流程和技术，技术团队之间几乎零沟通。这就意味着对同一起事件的分析工作量是一般的三倍，并且不同的团队往往分析得出不同的结论和建议。由于该企业没有一个整合的平台来应对安全事件，关键的决策者很难捕获到新出现的威胁并在最短时间做出最合适的响应决策。Resilient将其事件响应平台部署为整个组织的事件响应中心，通过事件响应平台能够在中心位置协调响应活动，自动生成审计跟踪，并为分析师和高管提供全面的可视性。其次，事件响应中心还能开发和编纂标准化的响应流程，使团队能共同工作并对事件做出一致性的响应，还能向组织内的个人和团队分配任务消除重复性工作。最后，将现有的技术集成到响应流程中，对一些重复性、耗时多、手动的任务进行自动化处理。当对一个事件做出反应时，60%的分析师行动可以通过复原完成，不再需要浪费时间去使用五、六种其他工具。通过与十几种安全技术的双向集成，分析师可以访问几乎所有他们需要的东西，而不需要切换窗口或完成手动传输。Resilient还使组织能够在所有四个团队进行事件模拟，允许他们练习解决以前引起问题的事件。最后，通过流程改进、无缝集成和自动化的组合使该药企进行安全事件的平均响应时间缩短了97%。四. 恶意软件的告警和审核黑石（Blackstone）公司选择 Splunk Phantom的安全自动化编排平台来应对其安全告警事件。Phantom主要通过基于Python的应用程序和剧本来帮助黑石快速执行操作，实现了调查恶意软件告警的重复审核流程。当Phantom收到恶意电子邮件告警时就会触发创建剧本。由于这些告警缺乏相应的上下文环境，所以Phantom的第一个步骤是为所有收件人查询黑石的SIEM，然后活动目录会从受到影响的用户配置文件（包括业务组、标题、位置等）中收集上下文信息。Phantom在其Carbon Black中编排了一个“狩猎文件（hunt file）”的操作，并查询iSight 合作伙伴的威胁情报数据库信息。最后对告警文件进行信誉检查，并使用Cylance模型对其进行评估，将结果即刻传送到安全团队，供其审查和操作。以往黑石通过手工流程完成对恶意软件告警的处理所需时间是30分钟到45分钟，通过使用Phantom剧本自动化编排后整个响应完成不到一分钟，这使得安全团队能够更加专注分析和解决问题。转换从而收集关键证据，描绘事件之间的关系并最终确定解决方案。事件调查中这些命令的运行往往会将安全分析人员困陷于屏幕切换和调查结束后对文档的跟踪。当SOAR工具被Palo Alto Demisto引入事件调查后，经过运行富集剧本，安全分析人员通过在Demisto作战室（War Room）9内运行CrowdStrike命令获得可视性更强、操作信息更新的攻击信息。例如，Demisto 的剧本通过流API获取事件后，分析人员通过运行带有相关参数的命令，如cs-device-details和crowd-strike-submit-url，获得实时的上下文环境，从而获取到设备细节并提交URLs来各自进行分析。分析师也能通过作战室从其他安全工具实时获得的命令,从而确保单控制台视图（single-console view）进行协同跨产品的端到端调查。作战室将随着时间的推移，记录所有分析师的行动并推荐出最有合适有效的分析师进行分析。此外，分析人员可以从一个公共窗口快速切换并运行与环境中事件相关的独特命令。所有参与的分析人员都将能够可视化的看到流程完成的状态，并在统一的控制台运行和记录命令，还避免了对来自多个来源的信息进行文档整理。这极大的提高了安全事件调查的准确性和分析效率，并且对人力资源进行了有效配置。三. 威胁事件的快速响应与决策10IBM Resilient通过智能化编排帮助一家全球市场领先的Palo Alto Demisto，Automated endpoint protection, threat intelligence, and malware analysis.Demisto的作战空间是为分析人员协作调查事件的平台，并为事件后的报告自动记录行动。IBM Security, Battling Complex Cyberattacks with the Next Generation of Incident Response and Security Operations89101716一. 失陷终端的研判与处置勒索和挖矿事件经常在涉及到国家关键基础设施的重点行业发生，已经造成数以亿计的经济损失。安恒AiLPHA大数据智能安全平台将人工智能与SOAR结合，在医疗、教育、金融行业已经取得很大成效，以下是AiLPHA在医疗行业运用SOAR技术工具的典型案例之一。AiLPHA会针对每一个主机建立流量行为基线，当主机被远控木马植入时，AiLPHA通过人工智能 RPCA-SST 算法滤除人为上网行为的噪声，检测出主机存在回连未知地址和数据泄露的特征，联合EDR发现进程存在文件篡改行为，研判分析其为变种木马，自动下发EDR文件隔离策略和防火墙流量阻断策略，及时阻断数据泄露风险。同时调用Sherlock对木马文件追踪溯源，发现其通过钓鱼邮件植入，办公网中多个主机收到过同样邮件。继续联动漏洞扫描器和EDR对相关资产进行检测与响应。最终将该新型变种木马的文件hash、远控域名、发件邮箱加入威胁情报库，并将相关流量、日志和处置过程通过邮件通知安全管理员进一步应急分析。这一完整的对失陷终端的响应过程就是SOAR创建的剧本，体现了SOAR如何动态实现编排与自动化。二. 复杂威胁的交互式实时调查8随着安全报警种类和数量的增加，标准化的流程不足以对每个安全警报做出响应。除了运行自动化操作外，对安全攻击的调查还需要额外的实时应对，例如对可疑指标进行药企将安全事件解析时间从84分钟缩短到不到2分钟。该药企每年需处理的安全事件数量高达5000起，在全球设有四个安全团队，且每个团队都有自己的流程和技术，技术团队之间几乎零沟通。这就意味着对同一起事件的分析工作量是一般的三倍，并且不同的团队往往分析得出不同的结论和建议。由于该企业没有一个整合的平台来应对安全事件，关键的决策者很难捕获到新出现的威胁并在最短时间做出最合适的响应决策。Resilient将其事件响应平台部署为整个组织的事件响应中心，通过事件响应平台能够在中心位置协调响应活动，自动生成审计跟踪，并为分析师和高管提供全面的可视性。其次，事件响应中心还能开发和编纂标准化的响应流程，使团队能共同工作并对事件做出一致性的响应，还能向组织内的个人和团队分配任务消除重复性工作。最后，将现有的技术集成到响应流程中，对一些重复性、耗时多、手动的任务进行自动化处理。当对一个事件做出反应时，60%的分析师行动可以通过复原完成，不再需要浪费时间去使用五、六种其他工具。通过与十几种安全技术的双向集成，分析师可以访问几乎所有他们需要的东西，而不需要切换窗口或完成手动传输。Resilient还使组织能够在所有四个团队进行事件模拟，允许他们练习解决以前引起问题的事件。最后，通过流程改进、无缝集成和自动化的组合使该药企进行安全事件的平均响应时间缩短了97%。四. 恶意软件的告警和审核黑石（Blackstone）公司选择 Splunk Phantom的安全自动化编排平台来应对其安全告警事件。Phantom主要通过基于Pyt