自動化技術在網絡安全運營中的應用對現(xiàn)代企業(yè)非常重要,不僅可以解決網絡安全技能不足問題,同時還能夠顯著提升組織的整體安全運營效率。不過在現(xiàn)代企業(yè)組織中全面實現(xiàn)網絡安全自動化的潛力并不是一蹴而就的。隨著信息化環(huán)境、威脅防護和業(yè)務需求不斷變化,企業(yè)可以從一些典型安全運營場景入手,長期做好自動化技術迭代和優(yōu)化工作,并定期評估和優(yōu)化調整自動化流程和工具,才能讓自動化技術在安全運營中真正有效落地。
本文列舉了自動化技術在安全運營中實際應用的4個典型用例,并對其應用價值和工作流程進行了分析。
用例1、自動化攻陷指標(IoC)監(jiān)測
攻陷指標(IoC)主要用于確定系統(tǒng)、網絡或應用程序是否已受到攻擊或遭受損害的信息,通常包含已知的惡意活動跡象,如文件哈希、惡意 IP 地址、惡意域名等。攻陷指標監(jiān)測一直是安全運營工作的重要環(huán)節(jié),對于及時識別和響應突發(fā)性網絡安全事件至關重要。在傳統(tǒng)運營模式下,安全團隊需要從各種來源手動收集有關各類IoC信息,這需要耗費大量的人力和精力,并會減慢響應過程。自動化的IoC監(jiān)測則可以大大提高安全運營效率。
工作流程:
•提取IoC:使用文本解析工具或其他自動化方法,以自動化方式從各類安全設備的安全日志或警報中提取出需要的IoC數(shù)據(jù)。
•與威脅情報關聯(lián)分析:當需要IoC被提取后,可以通過VirusTotal、URLScan、AlienVault等威脅情報工具的API提交接口,自動化地進行數(shù)據(jù)匯集和分析處理。這類工具可以幫助企業(yè)快速提取出額外的上下文信息,比如IP地址是否與已知威脅相關聯(lián),或者域是否被標記為可疑活動。
•匯總分析結果:將IoC分析結果自動化地匯總成單一的綜合報告。這一步可以確保所有相關信息都被統(tǒng)一存放,便于后續(xù)的分析使用,因而安全分析師能夠很容易地評估威脅的真實性和優(yōu)先級。
•交付數(shù)據(jù):經過分析處理的IoC數(shù)據(jù),隨后通過Slack等通訊渠道來交付,或者直接添加到安全管理系統(tǒng)中的相關事件工單中。這樣確保有需要的人可以立即獲得所有必要的信息。
用例2、自動化外部攻擊面監(jiān)測
組織的外部攻擊面包括所有可能被攻擊者利用的面向外部的資產,這些資產包括域、IP地址、子域和公開的服務等。定期監(jiān)測這些資產對于識別不斷變化的資產狀況,并緩解其中潛在漏洞非常重要,而這種監(jiān)測可以通過自動化的掃描、漏洞管理和威脅情報源來實現(xiàn)。
工作流程:
•定義目標資產:外部攻擊面監(jiān)測的前提是要定義出構成外部攻擊面的域和IP地址,這些資產應該被記錄在一個自動化系統(tǒng)可以識別參照的文件中。
•自動偵察:通過使用Shodan之類的互聯(lián)網資產測繪工具,定期掃描這些資產。先進的資產監(jiān)測工具能夠準確識別組織敞開的端口、暴露的服務及其他漏洞。
•匯總和刪除重復發(fā)現(xiàn):這些掃描所得的結果需要自動匯總到一份監(jiān)測報告中。任何重復發(fā)現(xiàn)的結果都被刪除,以確保報告的簡潔和可操作性。
•自動提交監(jiān)測報告:外部攻擊面監(jiān)測報告可以通過電子郵件、Slack或其他首選的溝通渠道來提交。這份報告需要重點反映出新的或發(fā)生變動的資產、潛在漏洞和任何可能構成風險的冗余應用程序。
用例3、自動化漏洞管理
應用程序中的漏洞一直是最受攻擊者關注的常見攻擊目標。而做好漏洞管理需要包含整個漏洞防護的全生命周期,在有效識別漏洞的基礎上,進一步評估、排序和處置修復所發(fā)現(xiàn)的各種安全性缺陷。開展全面且持續(xù)的漏洞管理工作,對于企業(yè)組織改善數(shù)字化應用安全狀況,降低潛在風險,并保持數(shù)字資產的完整性和可信度至關重要。在此過程中,企業(yè)組織不僅需要遵循漏洞管理的最佳實踐,還需要借助自動化的漏洞管理工具和流程。
工作流程:
•定義應用資產:首先應該繪制出存放或托管組織各類應用程序的所有域和IP地址清單。這些資產應該被記錄在一個可被識別的文件中,方便自動化系統(tǒng)參照。
•漏洞自動掃描:將已定義的應用資產自動發(fā)送到OWASP ZAP、Burp Suite等漏洞掃描工具。這類工具能夠執(zhí)行全面掃描以識別漏洞,包括攻擊者經常利用的漏洞。
•收集結果并確定漏洞優(yōu)先級:自動收集掃描所得結果,并根據(jù)檢測到漏洞的嚴重程度確定優(yōu)先級,重點顯示關鍵/嚴重漏洞,這有助于將資源分配給最危險的威脅,實現(xiàn)安全投資回報最大化。
•自動補丁管理與修復:將漏洞管理生命周期與補丁管理系統(tǒng)集成,實現(xiàn)漏洞修補過程自動化。減少修補任務的人工干預,使安全人員能夠處理復雜問題。盡量縮小識別和修補漏洞之間的時間窗口,減少攻擊者得逞的機會。
•安全分析與主動威脅防御:利用漏洞管理生命周期自動化收集和分析漏洞數(shù)據(jù),為主動防御獲得更多洞察力,主動調整安全策略并優(yōu)化資源分配,以獲得最大效果。
用例4、自動化監(jiān)測被盜憑據(jù)
主動監(jiān)測有無被盜憑據(jù)是組織安全運營策略的一個重要要求。而自動化監(jiān)測被盜憑據(jù)目前已經是一項被各類組織廣泛應用的安全運營實踐,通過收集來自各種安全泄密事件的數(shù)據(jù),可以幫助組織快速了解他們的憑據(jù)是否已泄露,從而降低數(shù)據(jù)泄露的損失。
工作流程:
•匯總用戶電子郵箱、應用系統(tǒng)和域:創(chuàng)建一份列表,列出需要監(jiān)測的用戶電子郵件地址、業(yè)務系統(tǒng)或域。該列表應包括組織中所有相關的用戶賬戶,尤其是那些擁有特權訪問權限的賬戶。
•查詢泄露憑據(jù)數(shù)據(jù)庫:借助匯總后的電子郵件地址、應用系統(tǒng)或域列表,自動調用第三方憑據(jù)泄露查詢服務(如Specops、HIBP等)。這一步包括定期向其發(fā)送查詢請求,以自動化檢查是否有任何電子郵件地址出現(xiàn)在已知的數(shù)據(jù)泄密事件中。
•匯總和分析結果:收集來自查詢服務的響應。如果泄密數(shù)據(jù)中發(fā)現(xiàn)任何電子郵件地址或域,則匯總和分析這些泄密事件的詳細信息(比如泄密源、暴露數(shù)據(jù)的類型和泄密日期)。
•發(fā)送警報和報告:如果檢測到泄露的憑據(jù),自動生成警報。該警報可以通過電子郵件、Slack發(fā)送,也可以作為高優(yōu)先級工單集成到組織的事件響應系統(tǒng)中。包含有關泄密的詳細信息,比如受影響的電子郵件地址、泄密的性質和建議采取的操作(比如強制密碼重置)。
•立即執(zhí)行安全措施:系統(tǒng)可以根據(jù)泄密的嚴重程度,自動執(zhí)行安全措施。比如說,它可能觸發(fā)針對受影響賬戶的密碼重置、通知相關用戶,并加大監(jiān)測泄密賬戶的力度。
•定期計劃檢查:根據(jù)提前制定的檢查計劃定期查詢,比如每周或每月檢查一次。這確保組織始終了解可能涉及其憑據(jù)的任何新泄密事件,并能夠迅即響應。
參考鏈接:https://www.bleepingcomputer.com/news/security/4-top-security-automation-use-cases-a-detailed-guide/
