“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
背景
安全运营中,各种各样的攻击事件层出不穷,网络攻击是当前互联网安全领域中最为突出的挑战之一。在此背景下,外网攻击成为了网络运营的头号问题之一。针对此情况,我们借助SOAR集合安全设备的能力设计了响应Playbook与诸位分享一二,请各位看官师傅多多指教。
总体设想以有效攻击(即攻击成功)事件驱动,联动安全设备自动化响应,其中敏感操作经由人工审核,然后根据审核结果自动完成处置。
![【A9】应急响应Playbook小记]( "【A9】应急响应Playbook小记")
主机作为服务和应用的主要载体,无论是云主机、虚拟机还是物理机,只要是部署在其之上的应用服务遭受攻击,主机必有感知,所以就以HIDS作为事件源,取其入侵检测中高危及以上级别事件作为此次Playbook的输入。
![【A9】应急响应Playbook小记]( "【A9】应急响应Playbook小记")
现有的防御体系中外层有WAF,后面还有流量设备,出于事件报文的丰富程度和对接的便捷性来看还是选择流量设备作为调查工具。
![【A9】应急响应Playbook小记]( "【A9】应急响应Playbook小记")
事件是基于主机获取事件,那就必然会涉及资产查询,在早些年我们要借助运维工具CMDB或者终端准入去查询富化资产信息,而今可以直接使用ASM即可完成一步到位。
![【A9】应急响应Playbook小记]( "【A9】应急响应Playbook小记")
对于研判决策后需要对威胁进行阻断操作,那就没啥好想的了,HW三板斧,封IP,封IP,还是封IP,在WAF上安排就完事。
按照设计思路实现的剧本如下:
![【A9】应急响应Playbook小记]( "【A9】应急响应Playbook小记")
Playbook处置工作流说明:
自动处理工作流中以流量设备查询结果判断分支执行:
事件触发剧本开始,将HIDS入侵检测获取的告警报文关键字段作为剧本的输入传入剧本,从剧本输入参数中获取目的IP传入流量设备中查询同一时刻外对内攻击日志,同时查询源IP、目的IP的资产信息(ASM),针对流量设备查询结果进行判断,查询失败说明流量设备检测的流量中未发现与之相关的日志,通知运营人员进一步排查,剧本执行结束。
前面处理节点与上述一致,当在流量设备查询到有内对外攻击时从日志中获取详细报文(包括源IP、目的IP、真实源IP),流量设备会从流量中还原攻击者大概链路(从真实源IP到目的IP的过程),然后云沙箱查询真实源IP信誉,校验云沙箱查询结果,若是黑IP则上报研判决策是否封禁,审批通过则执行WAF封禁IP动作,拼接封禁阻断,追后将执行结果通知审批人,剧本执行结束
-
当前剧本在外对内攻击成功的应急场景下可以一定程度上缩短响应时间,提升安全事件响应效率
-
当前场景下还可以加入jira工单节点,没经过一个响应action在工单中更新处理过程,如此对时候整理事件报告或者复盘提供快速信息获取
-
剧本条件分支根据具体的场景还可以完善改进,如有宝贵建议欢迎留言或者私信交流
—
安全无小事,希望在座的甲方师傅所遇告警皆误报,防御固若金钟罩,我的剧本在贵司无有用武之地。
原文始发于微信公众号(A9 Team):【A9】应急响应Playbook小记
评论