-
安全运营人员投入高。随着安全检测类设备增多,安全监控防护覆盖面增加,检测方式和手段的丰富,SIEM所接收的各类安全告警日志数呈指数级增长,除检测攻击事件类日志外,还包括大量的异常行为类日志,依靠SIEM的日志无法对告警日志进行进一步收敛,需要投入大量监控分析人员,对告警进行分析研判和处置。
-
安全事件响应时间长。安全事件分析和处置过程中,安全运营人员除了需要操作各类平台进行信息查询检索外,还需要通过电话、即时通讯等方式与多方进行沟通确认,单次安全事件分析和处置时间较长,且由于人工处置和沟通带来的不确定性,安全运营指标MTTD和MTTR难以评估。
-
安全事件响应流程难固化。虽然我行针对各类安全事件发生的场景制定了安全预案,但是由于安全运营人员能力和经验不同,在安全事件的分析和处置过程中,难以彻底理解和执行预案内容,且存在人工带来的疏忽和遗漏,导致对相同类型安全事件的处置效率和结果不同。
-
攻击IP封禁。安全大数据中台实时采集各类型检测设备攻击告警,基于攻击IP、攻击类型等维度进行实时统计和归并,将告警数量达到设定阈值的IP推送至SOAR,SOAR判定IP是否为数据报备白名单IP或我行业务对接第三方企业出口IP,若是则自动派发通知邮件,通知相关进行排查确认。否则将结合外部机构和行业情报共享等渠道获得的威胁情报,通过IP属地、IP所属机构类型、历史攻击情况等多个维度进行威胁评级,针对不同级别的IP设定不同封禁时长,并将信息自动推送至网络防火墙、旁路阻断设备和CDN,实现攻击IP的自动封禁。
-
失陷终端隔离。EDR、杀毒软件等系统检测某终端感染病毒木马或被植入后门后,将通过SOAR调用网络准入系统API,通过设备硬件ID获取设备入网账号等用户信息,并联动网络准入系统,临时对失陷终端进行下线,同时通过邮件和即时通讯软件向终端所属用户推送通知消息,提示其被感染终端存在安全问题,建议暂时禁止该终端联网,等待人工核实。同时在SIEM中生成安全事件,由安全运营进行跟进和处置。
-
恶意样本特征联动更新和告警关联。APT沙箱检测到恶意样本后,将通过SOAR根据样本特征生成自定义策略或情报,并将其推送至EDR、终端杀毒、HIDS、邮件安全网关等系统,由各个系统实时更新并推送规则库,对恶意样本进行查杀。若发现某服务器或终端受感染,则由SOAR将APT沙箱告警和相关告警进行关联,推送安全事件至SIEM,进行下一步分析处置。
-
恶意邮件策略更新和删除。APT沙箱检测到邮件中存在恶意样本后,将通过大数据中台结合流量日志、邮件安全网关日志等对告警进行富化,提取发件人邮箱等信息生成告警,SOAR调用邮件安全网关API增加防护策略,同时调用邮件系统API对符合条件的邮件进行删除,防止用户点击。
-
失窃账号自动冻结。通过大数据中台构建模型策略,并对远程办公、移动OA等应用日志进行实时分析,发现员工账号疑似被他人异常登陆,则联动对应系统对用户进行下线处置,并联动统一身份认证对该账号进行临时冻结,通过短信和邮件方式通知账号所属员工账号状态异常,通过修改账号密码自动解封。若改密后再次触发该场景,则对账号进行长期冻结,推送安全事件至SIEM,由安全运营人员进行调查分析,确定账号失窃原因后再进行解封。除通过模型分析方式外,当移动OA系统产生攻击告警后,也会触发失窃账号冻结操作,大数据中台提取告警REQUREST中的SESSIONID或USER_TOKEN并对告警进行富化,SOAR调用移动OA API查询对应用户账号,对该账号进行上述相同操作。
作者介绍
关于 大湾区金融安全专刊
关于 安全村
专刊获取方式
原文始发于微信公众号(安全村SecUN):安全运营工作自动化的探索与实践|大湾区金融安全专刊·安全村
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论