企业安全运营实践：四个阶段实现风险处置的快和准

Posted 2022-03-09 阿肯的不惑之年

作者简介--------------------------------------------------------

李宗晖，现任某企业安全架构师，攻防团队负责人，专注实战化信息安全对抗。曾任某网络安全公司安全服务副总监，多次主导大型攻防演练。具备金融（保险）、通信、传统行业安全运营与建设经验。

---------------------------------------------------------------------

一、引言

企业安全运营过程中的准确性、时效性是老生常谈的痛点难点。而这两点恰巧是衡量企业蓝军安全运营能力的重要指标。在企业数字化转型，安全数字化的大趋势下，以实战驱动打造一支具备真正对抗能力的蓝军成为运营负责人的首要工作任务。

企业安全运营建设在笔者看来可以分为四个阶段，由一到四能力逐步提升，对企业赋予安全能力，对人员提供安全数据，以实战化运营作为最终目标。通过动态的对抗发现问题、分析问题、响应问题。实现为业务保驾护航的目标。具体如下图1所示：

一为起步阶段，仅购买基础安全设备，无法协同、高效运营，基本不具备对抗能力。

二阶段为数字化运营阶段，可发现安全问题，依靠运营人员个人经验处置，具备初级对抗能力。

三、四阶段固化处置经验，典型攻击事件落地SOAR。快速响应安全事件的同时对主动外部威胁提前预警拦截。面对国内外黑产均具备真实对抗能力。

图1

二、第一阶段：基础防护，各自为战

快速识别响应外部攻击、渗透的能力，保护公网资产。对公网资产查缺补漏，分优先级完善基础防护，杜绝一打就穿的情况。

1、高优先级安全设备的购买与部署

以发生频率，危害作为横纵坐标进行分析。对业务产生高频，致命危害的优先购买设备完善防护。安全运营的最低职能是保证企业不出信息安全故障，因此在这个阶段建议仅考虑发生即故障的安全风险。

在这样的指导思想下，如下高优先级安全防护设备需迅速完成购买与部署：如：WAF、HIDS、抗D、抗CC和杀软。

上述套件致力于短快平地解决互联网业务基本安全问题，也是底线问题。例如保密性、完整性（Web、主机防入侵：挂马、远控、拖库等问题）、可用性（抗D，抗CC：业务被分布式拒绝服务攻击导致业务不可用）；杀软，主要解决用户终端木马、病毒、勒索等问题。

完成高优先级设备部署后，平衡成本与业务需要可以逐步添加边界防火墙，入侵检测，入侵防御，桌管等....

2、梳理资产，主、被动方式结合识别内外部资产，建设可靠的资产数据库，将上述安全产品全面地覆盖所有资产。

这个阶段有防护，无运营。基本防护都上全了，也能达到一些防护效果。但数据是离散的，运营人员长期处在想起来了就登录后台看一看，想不起来就算了。出现安全问题往往反应极慢，或没有反应。

近些年，大型网络安全演习活动如火如荼，笔者也主导了多次防守任务。许多非金融行业的参演单位均处于这个阶段。这些单位无法高效处理安全问题，却又能涉险过关，是因为大量临时聘请了乙方专家参与防守，一人甚至多人负责一个设备后台。这类临时安全运营能力，在长期安全建设中是不可取的。

三、第二阶段：集中运营，统一战线

依托安全ERP建设SOC运营中心的大数据平台，对安全设备日志、关键业务日志等基础数据进行清洗并集中展示。由经验丰富的蓝军专家制定清洗规则，原则上数据量越大，越有可能捕捉到有价值的事件。

运营中心的大数据平台建设：

１.收集包括但不限于：WAF、HIDS、杀软、桌管、堡垒机、VPN、应用、外部通告、外部情报、防火墙、邮件等日志。

２.以内部违规、外部攻击两个大的基调对各类日志进行分级分类，同时兼顾到应用安全、网络安全、终端安全等专业领域，最终制定出适合公司业务场景的告警项，对大量基础数据进行清洗，全方位建立告警规则，哪里有问题一目了然。

在阶段二中把单体的告警进行了统一清晰、展示。运营人员可以快速看到某个设备产生了告警，并完成处置。这个阶段已经可以满足部分企业的安全运营需求了。这个阶段存在的缺陷是没有场景化编排，误报多且事件处置需高度依赖安全运营人员的个人能力。告警处理的时效性和准确性都难以得到保障。这个问题将在阶段三进行分析。

附注：SOC各模块含作业中心、稽查中心、运营中心、员工中心、自动化中心、报表中心等

四、第三阶段：数字运营，快速响应

做到快速响应的关键点无非就两点：一是准、二是快。

第三阶段主要是人工编排，本质是通过自动化手段将原有数据经过不同方式的排列组合，达到快速响应、精准响应的目的。

如何准：

１.以各设备日志关联资产进行运营，告警+资产形成资产UEBA，可疑事件链。旨在抓取高可信度，低发生频率的真实入侵行为。此类告警通过内部IM推送。

２.结合报表中心，使运营效能、运营准确率等参数透明化。依托数据反推阶段二的规则建设，对不合理不准确的规则进行调优。

如图2，人员账号风险告警处理起来费时费力，且大多数时间都是在做无用功。这是典型的难以单体运营的告警数据。但根据行为特点关联聚合后，就可以成为一条关键可疑事件事件，减少运营人员工作量的同时，准确性真实性也得到了提升。

图2

如图3，网页后门告警原则上属于高危告警，运营人员要及时处理。但阶段三同时要解决阶段二中高度依赖运营人员个人能力的问题，假定网页后门告警运营人员经验不足或处理失误，单体告警已经被关闭。可疑事件仍然进行24小时或以上的持续匹配，成功匹配上后续的可疑行为，聚合成为一条关键可疑事件。

图3

如何快：

在未实施7x24小时运营情况下，对于关键（攻击）告警运营如何达到平均处置时效1小时以下，对于安全事件响应如何达到30分钟以下，笔者实施以下两个方案：高频场景自动化，中低频场景半自动化。

1、高频场景：

对于高频场景，经资产调优、告警规则调优，制定准确率达到95％以上的告警分类。高威胁告警IM推送处理人员，低威胁告警实现从告警到处置的全自动化作业流程。单体告警处置完成后，依然进行24小时或以上的可疑事件匹配监测。触发资产UEBA、可疑事件链直接推送内部IM或自动拨打电话通知。闭环后形成处置记录通过内部IM等及时通讯方式供运营人员、上级主管二次审计。

2、中低频场景：

中低频场景多数指真实产生危害的入侵事件。基于业务大体可以分为web入侵、钓鱼邮件、勒索、DDoS/C&C、0Day漏洞处置，对此类场景编排SOAR剧本。甲方产品重要的是落地使用，因此条件不成熟时不要刻意追求全程自动化响应。SOAR全流程中自动化难点在于事件发现和分析，人工处置难点在于处置过程中多部门协同的人员调度。对于有经验的安全运营人员，一眼就可以识别攻击，分析出基础信息，这部分往往是自动化难以达到的。安全在甲方是成本部门，安全事件处置过程中，若未对生产业务产生严重的影响，兄弟IT部门的配合积极性往往不高，因此处置时长可能会无限拉长。分析到此处，方向就非常明确了，参与人员越少，响应速度越快。事件发现、事件分析阶段交给人工与半自动化，事件处置交给剧本全自动化。难以自动化、却又非常关键的参数或判断节点可以由运营人员分析后提供给系统，人机结合完成半自动化响应。整体完成响应后，生成安全事件，通过内部IM等及时通讯方式通知运营人员、上级主管二次审计。

图4

如图5以钓鱼邮件安全事件进行举例，描述如何SOAR响应。

钓鱼邮件是最防不胜防的攻击手法，是企业安全建设中的难点。大多数企业对于钓鱼邮件只能靠安全意识培训、杀毒软件等手段，缺乏主动发现并拦截的技术手段。目前我们的运营团队已成功攻克该场景，并针对可以绕过腾讯反垃圾邮件网关的高阶钓鱼邮件攻击实现了有效告警。2021年全年对集团8000余个办公邮箱进行安全监测，成功拦截、响应钓鱼攻击30余起，其中包括6起针对特定行业的定点攻击，未出现成功入侵案例。其中一起溯源后同步网警通报全市企业提前预警。平均响应完成时间均在15分钟以下。

目前已完成的钓鱼邮件SOAR流程经验如下。依托阶段二的SOC安全预警中心，通过域名备案，收件频率，黑白关键词，附件格式综合判断形成钓鱼邮件预警。

预警规则可参考如下思路：

1）无备案域名+高收件频率+附件格式exe+黑名单关键词同时匹配输出致命预警；

2）无备案域名+附件格式zip+黑名单关键词同时匹配输出严重预警。

诸如此类，以可疑程度产生梯队式告警。运营人员收到告警后可通过国内反病毒大厂在线分析工具，确认钓鱼邮件的钓鱼域名、恶意附件指纹、外连挖矿地址、远控地址等信息，将相关信息提供给已固定好的安全设备、网络设备接口，下发一件处置指令，指令完成即处置完成。应急响应快速完成落地，安全问题由安全部门直接解决，省去了数个小时的沟通成本。

图5

五、第四阶段：主动运营，风险预测

上述三个阶段均处于被动运营阶段，外部攻击来临时或产生风险后进行封堵或响应。

要改变被动挨打的局面，需要结合乙方安全厂商的威胁情报信息，针对行业或企业形成动态威胁地图。对攻击手法，地区，情报，历史攻击行为多维度匹配和当前攻击的关联性，目的是提前掌握部分地区、攻击组织的威胁态势。避开业务高发地区，对达到某种标准的IP、地区提前预警，提前阻断反向连接，必要时候可以提前拦截主动访问。

如图6，每一个攻击事件对安全运营团队来说都是一次珍贵的积累。举个简单的例子，安全运营团队发现某攻击IP对资产进行了Log4j漏洞利用未成功，针对该IP进行拓展可得到如下情报信息（包括但不限于）：C段情报、攻击组织情报、攻击组织名下其余IP情报、域名情报、一定范围下同攻击手段IP情报（此思路在大型HVV演练中往往有出其不意的效果）。将上述情报信息汇总形成威胁地图报表，并根据当前需要将信息同步至WAF、HIDS、防火墙、入侵检测、入侵防御等设备进行重点监测、阻断外联。可大大减小同攻击组织，Log4j同类攻击手法的攻击成功率，达到智能运营，主动防御的运营效果。

图6

六、结语

安全运营与蓝军建设需要在防守中寻求变革。只有化被动为主动，才能捕捉战机，占领先机。后续有机会将继续分享红队视角攻防实践的落地经验。

全文完。

互联网企业安全高级指南读书笔记之分阶段的安全体系建设

宏观过程

第一阶段是基础安全策略的实施，ROI 最高，大多属于整改项，不需要太多额外的投入就能规避 80% 的安全问题

第二阶段是系统性整体建设，如果是大型互联网公司，应该直接进入自研之路

第三阶段是业务风险分析与业务风控体系建设

第四阶段是运营环节，所谓的 PDCA 工作

第五阶段安全建设进入自由发挥区间

清理灰色地带

• 资产管理的灰色地带（例如，资产管理系统数据不准确，运维和安全都不知道线上有某个IP，遗漏了安全检查和监控；一批新采购的服务器因为业务侧的紧急扩容需求急急忙忙上线，漏掉了安全扫描
• 安全措施的覆盖率和健康状态，例如 HIDS 的安装覆盖率，边缘 IDC 节点的服务器是否有；即使有，是不是在运行状态，还是agent down 了也不知道
• ACL的有效性。例如，为调试某个应用开了条临时策略，事后忘了回收了；iptables 的规则因为各种未知的原因突然失效了，导致全端口可访问
• 清理远程登录弱口令
• 清理 Web 应用
• 清理服务端口，判断不必要的服务和协议，排查高危端口

建立应急响应能力