贫民版的SOARNode-red

  非常感谢二胡老板的推荐，一下增加了300多人，CEO下一步可以考虑直播带货了。

既然CEO都推荐了，怎么也要写点什么才对得起推荐，也对得起关注我的人。不过自从写完了书，感觉肚子里边的墨水真有点掏干净了，所以也憋不出太多的东西。我们对团研究的一些技术方向的文章都会发在《小豹讲安全》里边，如果有兴趣的读者，也可以关注一下这个公众号。

 

       回到正文，这次主要想说一下Node-red(简称NR) 这个东西，这个是我研究智能家居的时候接触到的一个东西，这里放两张流程图,用来处理网络出现故障进行线路切换的：

 

 

 

 

 

可以发现，这个东西，有点类似现在比较流行的SOAR，可以把一些防御策略做成可视化的形式。这样，每次想看一下当前的策略（或者给老板显摆一下），就可以非常直观的看到。

 

这东西的安装非常简单，有兴趣的朋友，可以参考官方文档进行安装即可，自带的插件也比较多，我主要用的SSH,HTTP,ELASTICSEARCH等等都有，所以，基本上也算可以满足一些场景的定义了。

不过这个东西的安全性，也需要注意，这里放一下TSRC的一篇针对NR的安全性研究的文档，写的已经很全了有兴趣的读者也可以看看  《物联网开源组件安全Node-RED白盒审计》  https://security.tencent.com/index.php/blog/msg/181

 

最后说一下个人对SOAR的一点看法吧，个人对这个来看，还是觉得有点花里胡哨的，主要我觉得安全对抗的本质还是人与人之间的对抗，用定义好的场景，脚本，往往可能都会处于自己跟自己玩的情况。而且，需要对规则的定义，使用，甚至结果都需要把握的非常准确，否则可能容易晚上没法好好睡觉了。而且看这类产品的核心功能应该是可以对接多少设备，能对接的设备越多，才能处理更加丰富的场景。不过如果作为常规性操作的防御的可视化来说，还是可以研究一下的。总之，个人觉得，注意力还是应该集中在对规则的掌控上，能做到精准判断，不误报，不漏报才是最好的。当然，针对这个话题，以后再慢慢写吧。

下期有感中途岛海战，谈谈安全工作中的战略和战术吧。

原文始发于微信公众号（安全防御）：贫民版的SOAR----Node-red