长文｜SOAR方案智能化高效直击企业网络安全运营痛点

Security

背景安全运营现状与痛点

随着互联网、云计算、物联网、移动互联等信息技术快速发展，网络空间和物理世界深度融合，随着数字化的推进，网络安全的形势也日益严峻。攻击工具、攻击手法不断升级、越来越复杂，特别是近两年疫情全球化，从各个维度冲击着国际关系的重建和国际秩序的走向，网络安全秩序中对立的格局初现，各方面的战略竞争加剧，在地缘政治背景下，国家层面的网络冲突愈演愈烈，以窃取数据、破坏关键基础设施为目的的国家级APT活动更加频繁和活跃。

在这样的背景下，新的信息安全问题不断浮出水面。这里面既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和信息泄漏。企业面对的来自外部的新的网络安全威胁层出不穷，如利用特种木马、0day 漏洞、水坑攻击、钓鱼攻击甚至威胁更大的 APT 攻击已很难被传统防火墙、 IPS 、杀毒软件等安全防护设备发现和阻止。

随着企业面临越来越多的威胁，为了能够进行快速、持续地响应，安全运营人员不得不与复杂操作流程以及匮乏的资源、技能和预算等做斗争。由于安全运营人员短缺，企业更希望能够通过自动化方式而不是人工方式去执行重复任务。以勒索软件为例，为了有机会控制其在企业组织中横向渗透的威胁，企业需要能在几分钟内快速完成响应。面对这样的情况，企业组织只能通过将更多任务派发给机器以减少响应时间。

随着企业的网络安全防御体系的不断建设和完善，很多企业已经构建了SIEM/SOC/态势感知等平台，通过采集安全设备告警并对告警数据进行标准化、过滤、归并等预处理动作，然后结合威胁情报、网络流量、威胁场景进行关联分析，极大程度上压制了告警的数量使安全运营成为可能。但是由于采集到的安全设备告警数据来自于各个安全设备，而安全设备的告警逻辑是不可见的，仅通过告警中的告警类型、源地址、目的地址等有限的信息进行关联分析，仅能做到的是在指定的威胁场景下压制告警的数量（另一维度上的数据归并），此时安全运营人员从关联分析的结果中并无法了解到被告警资产是否被攻陷、被攻陷资产是否存在横向移动等情况，仍然需要线下人工取证并对取证数据进行分析。关联分析后的告警仍然存在大量的误报，如果每个告警的分析、研判、处置都需要安全运营人员手工的方式处理，由于安全运营人员能力的不同，很容易导致忽略真实且有危害的事件。在网络安全运营工作中减少响应时间（包括事件遏制和补救）是控制安全事件影响的最有效方法之一。虽然在各个行业威胁检测的平均时间呈下降趋势，但仍然需要很长时间。对于大多数企业来说，快速发现威胁并作出响应和补救措施仍然面临巨大挑战。

企业安全运营的核心内容是围绕威胁管理的检测、研判、溯源和响应4个阶段展开工作，目前大部分企业的安全建设和安全产品的重心都是以检测为核心，近几年安全的热点产品都是为了发现更多的黑客攻击，而安全检测类设备往往受其部署位置和技术实现机制限制导致产生大量低质量的告警信息，而告警信息里一部分已经被防御设备阻断了，需关注阻断后是否存在绕过防御的威胁场景，另一部分是需要其他设备的数据作为佐证才能判断告警的真实性，而检测设备能够直接给出准确的告警占到了不到10%。即便是这10%的告警信息，要完整的描述其攻击过程和影响面也是需要大量的其他数据来做支撑。

原本SIEM/SOC/态势感知的诞生是为了解决以上问题的，但是发展了很多年经历了几代的演变，其焦点还是在于发现更多的问题，尤其国内态势感知市场的兴起更是把这一误区表现更淋漓尽致。网络安全运营工作的重点是对于威胁的全生命周期管理，检测只是其中一环，对于告警的研判和溯源以及响应这三环之前没有产品能很好的支撑其相应的安全运营工作。造成的局面就是客户经常抱怨态势感知“好像没什么用”。

客观来讲，SIEM/SOC/态势感知平台的建设还是有其价值的，至少解决了安全数据孤岛的问题，安全运营人员至少可以通过一个平台来看各个设备的告警信息，另外一个价值是解决了安全数据的可视化，通过态势感知可以看到网络被黑客攻击的整体态势，但是这个态势是非常宏观的。微观到具体的攻击的时候其质量基本不能准确表现。

攻防演练是一个非常典型的安全运营场景，攻击队扮演黑客，企业做好防守，在各大攻防演练现场频率最高的场景就是 “分析主机有没有被攻陷，被攻陷主机有没有横向移动”、“封禁某IP”等。如果将攻防演练映射到日常安全运营工作，对于安全告警的监控、研判、溯源、响应往往受限于安全运营团队的人力配备和资源投入。通过梳理攻防演练场景里最多的工作就是研判和响应，研判无非就是找到跟安全检查设备告警元素相关的能够佐证的其他数据（例如主机操作日志、配置信息等），根据这些数据分析主机是否已经失陷、失陷主机是否横向移动等。

如果基于SIEM/SOC/态势感知平台产生的告警关联能够佐证其真实性和能够完整描述攻击成功后的其他行为的数据，这些规则的焦点是研判告警的准确性和完整攻击的描述上，技术实现也不仅是基于实时数据的关联分析，同时包含对历史数据的关联检索，这种实现机制帮助安全运营自动闭环了研判和溯源这两大环节。从整体上提升网络安全运营效率。

目前国内基于SOAR技术的产品主要的精力集中在如何针对已经确认的告警通过剧本快速联动处置，而针对于耗费安全运营人员时间、精力的取证、分析、研判等工作仍然是依赖于线下人工操作，为了解决并改善这一问题，国舜股份基于多年的网络安全服务实战和安全产品研发经验，研究、设计与研发了北斗网络安全运营平台，解决并提升网络安全运营工作中遇到的实际问题，通过自动或半自动的取证手段，对于与告警相关联的证据线索进行自动化分析、研判，联动安全产品、企业内部平台系统进行自动化响应处置，并将其工具化、平台化，为企业网络安全运营工作提供技术支撑。

Security

突破国舜北斗网络安全运营平台

为了切实提高企业信息安全的主动防御和动态防护能力，国舜基于SOAR技术研究、设计、研发了北斗网络安全运营平台，让企业的安全专家从繁重的重复劳动中释放出来，将事件应急响应的经验转化为剧本，将企业的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准、统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控，从而大幅度降低了MTTD（平均检测时间），能够更快更准确地检测出攻击和入侵。同时基于SOAR技术可以将处置过程编制成剧本，降低MTTR（平均响应时间），从而提升企业整体网络安全运营效率。在北斗网络安全运营平台中运营流程具备数字化管理能力，每一次的执行过程都记录在案，因此剧本流程的 KPI 如 MTTD、MTTR、召回率、准确率、覆盖率等可评估、可度量、可追踪。通过对企业的所有运营流程数字化管理、数字化执行、数字化KPI评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了最大的作用，甚至什么安全设备在所有流程中被使用的价值最大，从而为以后的安全投资决策，安全团队建设决策提供有价值的数据支撑。

国舜北斗网络安全运营平台遵循“全面安全数据采集、高质量数据长期存储、充分利用信息价值、不断扩充场景”的原则，按照“安全数据集中存储、基于实践开发安全场景”的方式进行建设，定位于为企业提供安全威胁分析与预警能力，为企业提供“集中存储、不断扩充”的安全分析能力。

安全数据多面采集，进行内部、外部、情报相关安全数据的采集，使安全数据可以反映出各个时段、各个安全层面、主要IT环境的情况；

高质量长期存储，针对大数据技术特点，所采集数据原则上保留原始数据同时，按数据内容进行标准化、标签化，按批处理分析、实时分析、全文检索、数据库查询的需要进行存储，各个处理环节均需要保证完整性与准确性；

扩大信息价值，多面采集与集中存储的数据之间，可以通过信息的关联、因果提升价值，例如海量的攻击日志可以和资产与漏洞信息结合，转化为更易于分析的安全告警关联能力数据，相对于独自存在相互隔离的数据大幅提升价值；

场景扩充原则，基于全量高质量的安全数据，逐步扩充安全攻击检测、异常流量检测、安全威胁情报等场景，实现对安全威胁情况的准确把握与预警。

Security

架构自动化、智能化的SOAR解决方案

国舜北斗网络安全运营平台以资产管理为基础，以风险管理为核心，以事件管理为主线，通过数据挖掘、关联分析等技术，辅以有效的安全策略、安全监测、安全预警、分析研判、调查取证、处置响应、复盘分析等功能，并结合SOAR技术固化安全专家知识，实现自动化调查取证和处置响应提升企业网络安全运营效率。结合ATT&CK知识库不断提升和完善企业的网络安全防御体系。

国舜北斗网络安全运营平台辅助企业建设可持续迭代的安全运营体系，为网络安全运营中的每个环节提供标准化框架，降低运营门槛、提升运营效率、以事件反馈和促进企业网络安全的正向建设，不断提升企业网络安全纵深防御体系的可感、可知、可控、可反击网络安全能力。

Security

功能多元化助阵安全运营

01

数据采集

数据采集模块实现了海量异构数据的采集，主要采集企业业务网络内和互联网两大范畴的安全业务数据。数据采集模块主要实现的功能有：资产信息采集、攻击线索采集、事件信息采集、漏洞信息采集、威胁情报采集5大部分。

数据采集模块会将采集到的数据分别存储到三种不同的存储系统，其中资产信息数据、漏洞扫描数据、威胁信息数据存储到关系型数据库中；日志信息数据、证据线索数据和事件信息数据会存储到大数据存储引擎中；流量数据、线索原始数据存储到分布式文件系统中。

02

数据分析

数据分析模块主要完成包含两部分功能：

数据预处理：数据过滤、数据归并、数据格式化、数据压缩、信息补全

数据分析：剧本分析、溯源分析

其中数据预处理是基础，数据分析数据预处理基础上进行上层逻辑分析。

平台根据采集到的告警数据，基于SOAR引擎提供的剧本能力，根据威胁场景被告警路由网关调度到对应的SOAR剧本引擎进行自动化研判处置，SOAR剧本引擎可以基于剧本的配置提供利用取证工具自动或半自动方式实现自动化取证能力，并结合威胁场景通过梳理的SOAR剧本自动实现告警事件的攻击检测、误报检测的功能，从而提升告警事件的置信度。

平台提供溯源分析能力，溯源分析是平台针对安全事件，进行IP回溯分析的流程。一次攻击可能代表单体行为，也可能是之前多次攻击的累积结果，因此跟踪其运行轨迹对于安全运营人员解决问题是至关重要的。溯源分析通过IP维度和指纹维度进行分析，不断迭代，将调查的轨迹逐步定位到边界，这个边界可以是网络的边界 ，那么代表攻击者来自互联网；这个边界也可以代表是内网，代表攻击者来自内网。通过有层次的分析，并且辅助动态的图形化展示，可以清晰将IP移动轨迹分析出来。

03

资产管理

平台可支持手工维护、批量导入、外部接口同步等方式进行资产记录与维护，还可进行资产感知和测绘功能。当网络上出现一个新“资产”时，平台可通过探查扫描日志或者网络数据流自动感知它的存在。系统也可通过扫描指定的 IP 地址范围，嗅探有哪些新增资产，针对资产采用多种协议探测技术，发现更多网络服务类型和相关数据，结合系统的丰富的资产指纹库精确识别资产类型和版本、开放的端口范围，启动哪些服务。经过周期性对比和核实，实现根据网络资产数据和服务数据的图谱构建和自动化分析，并提供可视化呈现。

资产管理可以从多种维度和标准对资产进行分组、分域管理，这些分类标准可包括资产类型、业务系统、安全等级、地理位置、所属部门等。平台提供资产监测的能力，通过SNMP实现资产监测能力，为后续的SOAR剧本自动化分析提供辅助数据支撑。

04

漏洞管理

平台通过接口与第三方厂商做集成。通过对扫描器工具的调用，系统的扫描模块可以直接驱动扫描器发动扫描任务，具备主动脆弱性检测能力；可设置即时任务和定时任务，在指定扫描任务时，可以指定扫描网段及IP 地址、指定设备扫描类型（如操作系统、数据库、中间件）、指定扫描策略（如专门针对FTP 协议漏洞进行扫描）、设置定时扫描任务、对扫描策略进行统一定制等；能够查询每次脆弱性扫描任务的开始时间、完成度和运行状态。对检测结果进行实时统计分析，显示每个资产的漏洞数量，以及据此计算出来的脆弱性事件等级；当聚焦某个资产时，通过“钻取”功能，可查出此资产的所有脆弱性信息，包括：漏洞名称、受影响的系统、发生时间；当聚焦某个漏洞信息时，通过“钻取”功能，可查看此漏洞信息的详细内容，包括：CVE 编号、 Bugtraq 编号、漏洞详细描述。

05

威胁情报

平台通过安全社区及第三方威胁情报合作商获取可机读威胁情报，然后系统可自动创建分析规则，对本地网络中采集的数据进行实时对比分析，及时发现发现来自恶意 IP 的可疑的连接行为；同时，系统可利用威胁情报对历史数据进行比对，以发现曾经发生过的未被检出攻击行为或本地网络中的 Botnet 主机，并可利用情报对安全事件进行情报溯源分析。威胁情报包括恶意 IP/URL/Domain Name/Email 等数据。同时，系统检测发现的安全威胁和攻击可经过安全分析师转化为威胁情报加入系统威胁情报中心，以便及时进行相应的预防阻断，降低安全风险。

06

剧本管理

安全事件分析模块基于SOAR技术通过安全编排（Orchestration）实现安全事件分析功能，安全编排是指将不同的系统或者一个系统内部不同组件的安全能力通过可编程接口和人工检查点，按照一定的逻辑关系组合到一起，用以完成某个特定安全操作的过程。安全事件分析模块SOAR引擎将安全专家事件分析、调查取证工作场景划分为攻击检测剧本、误报检测剧本、研判辅助剧本、溯源分析剧本、联动处置剧本5类剧本。

研判辅助剧本

平台采集到告警后，由于告警源提供的告警数据中缺乏告警的检测逻辑和对应的解释信息，故此需要再去取证并分析后才能提升对于告警的置信度，以便于决策是否对于告警进行处置及处置方式。通过研判辅助剧本可通过自动或半自动的方式获取涉及告警资产的线索数据，及对于线索数据的预处理。

攻击检测剧本

由于平台采集到的告警中缺乏告警的检测逻辑和对应的解释信息，因此需要借助取证数据、漏洞数据、资产监测数据、威胁情报数据等辅助信息结合威胁场景对于告警数据进行自动化研判。

误报检测剧本

误报检测剧本基于日常安全运营过程中积累的误报特征、业务特征等数据应急响应中各类威胁场景编制误报检测类剧本，并实时分析采集到的安全事件进行误报数据的过滤，将无用的噪声数据从真实有价值的数据中剥离出去。

溯源分析剧本

溯源分析剧本可以基于日常安全运营中的各类威胁场景，结合应急响应的需求编制对应威胁场景的溯源剧本，还原安全事件攻击链，辅助安全运营人员完成事件复盘分析。

联动处置剧本

平台通过SOAR-D剧本（研判辅助剧本、攻击检测剧本和误报检测剧本）对于告警自动分析后，由人工对于告警进行分析研判，平台支持研判结果通过API的方式自动联动对应的安全管控设备（防火墙、EDR等）进行封禁。

07

分析研判

研判分析模块提供安全事件调查取证、情报分析、分析研判、定损评估、事件复盘等功能。平台结合日常应急响应的各类威胁场景提供调查取证工具下载，安全运营人员可以通过下载调查取证工具，并在涉及安全事件的设备上执行获取取证信息后自动同步到平台，平台根据威胁场景对于取证数据进行自动分析。

经过攻击检测剧本、误报检测剧本分析后的安全事件会自动发送到分析研判模块，该模块为安全运营人员提供安全事件分析研判的功能，安全运营人员可以根据模块提供的告警数据、取证数据、威胁情报辅助安全运营人员快速完成事件研判。

08

事件管理

网络安全事件管理是政企客户网络安全运营的一个很关键的流程，它为政企客户提供首先检测事件然后准确确定正确的支持资源以便尽快解决事件的能力。该流程还为管理层提供关于影响组织的事件的准确信息，以便他们能够确定必需的支持资源，并为支持资源的供给做好计划，方便后续安全案件的快速处置。系统的案件管理用于帮助网络安全运营人员对一组相关的事件告警进行流程化、持续化的调查分析与响应处置，包括案件维护、案件概览、案件调查、任务模板管理等功能。

09

态势感知

平台对采集的各类安全数据、态势要素进行综合分析评判，从多维度和指标化的形式来呈现政企客户全网整体安全运行态势和资产、漏洞、攻击以及管理等专题态势，并进行可视化展示，帮助管理层辅助决策和执行层运营指导。

平台的全天候多方位安全态势感知包括资产态势、攻击态势、漏洞态势和风险态势四个方面。

10

工单管理

平台支持工单流转功能，以实现安全运营与应急处置。系统可针对发现的安全事件、告警、预警和安全通知等创建工单，通过工单的确认、审批和办结等完成安全管理工作的流转。工单可手工指派，既可以生成单次任务工单，也可以生成周期性任务工单，可设定优先级和工单时限等。在派发工单的时候，平台可以邮件方式、钉钉等方式通知运营人员及时处理。

工单功能可实现安全运营管理工作的流程化、规范化和可追溯，保证了客户安全运营和管理工作的顺利实施和实施质量。也可以通过定制开发实现与第三方运维系统的对接，形成工单协同。管理人员可对工单进行统计分析，了解工单任务状况。

11

报表管理

统计报表和安全工作报告是平台重要的功能之一，是安全分析结果的呈现和安全管理工作的成果描述。安全统计报表通过对系统获取的有关数据进行汇总、计算、对比，综合分析和评价组织的信息安全状况的安全管理成果。报表分析属于基本分析范畴，它是对企业信息安全状况的动态统计分析，是在研究过去的基础上感知未来趋势，以便做出正确的安全管理决定。

12

知识库管理

平台提供丰富的知识库，供态势感知与分析功能使用，同时积累经验，为安全管理人员日常运营工作提供指导。

用户可以对知识库中所有的知识点进行基于关键字的全文检索。系统预先建立的知识包括：漏洞库情报、威胁情报库、安全事件库、应急处置库、解决方案库等。

知识库支持定期更新升级，保持知识库最新状态，使系统能够及时感知最新漏洞，通过安全关联规则检测最新安全威胁。

Security

价值迅速反应、高效联动、分析详实

01

面向业务安全管理

系统内置业务建模工具，反映业务支撑系统的资产构成 ，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度分析业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

02

多面的数据采集

可以通过多种方式来收集设备和业务系统的日志、证据线索数据，例如 Syslog、SNMP、FTP、NETBIOS、ODBC、WMI、Shell、PowerShell等。

03

从实战出发的调查取证和自动化处置

平台支持利用SOAR引擎提供的剧本能力实现自动化取证能力，并提供取证工具可线上或线下辅助安全运营人员完成取证工作，并通过系统系统的分析研判工作台完成证据链梳理，线索拓线、溯源分析，提升安全运营人员分析研判效率，并借助SOAR剧本引擎实现自动处置实现快速止损。将应急响应中告警分析研判周期由天级压缩至分钟级，将告警的响应处置周期由小时级压缩至秒级。全面提升安全运营的分析研判和处置响应效率。

04

多元的漏洞管理

平台漏洞扫描模块支持与其他安全厂商漏洞设备集成，实现实时高效联动，内置配置核查功能从技术和管理两个维度进行资产和漏洞管控。

05

丰富的威胁情报管理

系统支持通过API或人工方式维护外部威胁情报，并且支持通过内部的安全事件利用系统提供的调查取证、事件复盘功能生成内部威胁情报，并支持威胁情报的共享。系统支持基于威胁情报的预警分析、漏洞快速筛查、溯源分析等功能。

拓展阅读●●

苏州国舜亮相第四届中国金融科技产业峰会并与苏州银行实验室达成签约合作

国舜北斗网络安全运营平台2.0亮相“金融科技 律动苏州”金融科技论坛

国舜网络安全专家应邀为常熟市网信办做网络安全宣贯