安全威胁响应的探索与实践

一、前言

威胁检测与响应在安全领域是一个很宏大的命题，分支众多，笔者决定跳过细碎的基础知识介绍，以实际应用场景及问题为切入点进行剖析，并且对信也在相关方面的实践内容-天启安全运营中心进行介绍。

二、为什么需要重新思考威胁响应？

不同于DevSecOps体系建设，威胁检测与响应是安全领域最古老的话题之一，相关技术、产品经过多年迭代、扩展、打磨，如今已经非常成熟。市场上聚焦SOC、SIEM、SOAR、XDR等不同领域的商业软件、系统、工具也非常多。

1.安全团队的问题

安全体系的落地，向上是公司管理层对信息安全的理解与意愿，向下是通过安全体系建设去管控现实的安全质量问题，安全团队作为承上启下的中间层，所负担的责任不言而喻。而在安全体系的运营过程中，人往往是最为关键的要素，所以笔者一向认为在企业的安全体系化、系统化建设中，除了需要以实际问题为出发点，更应该关注安全人员自身的运营诉求。

大多数安全团队中阶梯式的经验分布会引发一些较为现实的问题，比如，在面对复杂且难度高的问题时，必然会被抛给资深人员，而这些问题的出现相较于研发团队来说更为零散和随机。当这些问题集中井喷时，资深人员往往会变成解决问题的瓶颈。

正因如此，如何将资深人员的经验、技能转化为可自动或半自动执行的标准流程，是缓解人力瓶颈和保障交付质量的关键。

在比较成熟的商业化平台中，有相当完善的威胁发现和处置手段，但在决策层面、实际处置的效率方面，会与不同公司的架构现状产生很多不兼容的问题，这也是拥有研发能力的安全团队会根据自身实际情况进行部分自研的原因。

简单地说，安全团队需要将经验转化为简易的标准化流程，通过自动或半自动的方式来对安全威胁进行高效处置。这样既避免了对资深人员依赖形成的瓶颈，也防止了人员流失导致的工作中断。

2.复杂架构的兼容性问题

每家公司研发运维相关的关键词，比如IDC、混合云、云原生、容器、敏捷开发、微服务等都千差万别。

每家公司的安全设备部署模式、选型功能、实际效果也不尽相同。

如何利用已有的安全设备，在自身的技术体系下实现经验标准化，需要重点关注如下几个方面：

• 数据源

制定统一的标准日志格式，将已有安全设备日志、关键站点的服务器日志等统一预处理，聚合存储至独立的ELK中。此类日志标准需考虑到未来AI化、深度威胁发现、UEBA等所需的必要内容，尽量兼容不同安全设备/安全领域关注的关键字段，并针对不同类型的站点调用类型进行区分标记。日志聚合作为前期的必要准备工作，根据具体架构的不同，可能会涉及到一些对接系统的改造工作，建议按重要程度分批推进并寻求统一的底层方案。

• 分析逻辑

即威胁判定的标准，针对不同安全设备的异常告警内容和日常频率，制定不同的阈值，该阈值用于触发需要安全人员重点关注的高危行为提醒或已设置的自动化处理流程。在数据足够多后，可以考虑使用智能化手段逐渐替代阈值机制。统一化分析的目的是去除不同安全设备海量的告警日志，降低告警噪音，而非原封不动的告警转发。

• 执行逻辑

执行逻辑大体包括自动执行及辅助执行，前者负责自动化调取各系统接口进行处理，后者通过功能页面设计，引导安全人员按流程进行便捷的人工处理/分析。目前在易于通过阈值进行触发判定的网络安全设备层面，自动化执行的效果较为明显。当然，执行逻辑可以继续拆分为具体的使用功能，后续会为大家介绍信也的一些建设经验。

3.场景问题

甲方安全团队由于日常工作性质，在进行自研系统建设规划或功能设计时，比较容易以大而全为出发点，使自己陷入到投入产出比、落地效果不明确的泥潭中。安全自研系统需要较长周期的迭代，应当以小场景、能解决实际痛点作为初期核心功能进行落地，后续再逐渐做模块化的扩展。在这个前提下，对应用场景和需求的挖掘，将非常考验安全团队在日常运营中发现问题、沟通协调、思考总结的能力，也是建设过程中最需要投入人力去推动的内容。

三、信也实践：天启安全运营中心

1.天启的定位

天启安全运营中心是信也安全团队以 1）发现&管理安全事件 2）优化事件处置 3）深度聚焦场景为原则设计并自研的平台系统，于2022年上半年上线。 

2.场景举例

3.核心目标

短期目标：缩短安全事件响应时间，降低人耗，包括去除噪音、降低操作难度、缩短操作时间、自动处置明显攻击流等。

长期目标：提升威胁发现的准确率和深度，包括AI智能化、增加威胁感知维度等。

4.架构

5.核心功能

目前天启核心功能分为四块，分别为标准安全事件排查流程、专项解决模块、自定义编排模块、智能化应用。

6.功能展示

这里我们挑选其中几个功能向大家进行具体介绍：

6.1 标准安全事件排查流程

标准安全事件排查被固化为威胁大盘->溯源取证->事件查询的链状处理流程。

威胁大盘对真正需要安全团队关注的各项指标进行了展示。除了告警通知外，还设计了较强的交互性，所有关键字段均可点击跳转至溯源取证页进行进一步查看。

溯源取证功能会对提供的关键字进行全范围关联搜索，并根据时序、环境排列，提取展示事件的关键信息，方便安全人员快速排查判断。

继续点击溯源取证中想了解的关键信息，将携带所选参数跳转至ELK查看详细的日志记录。天启通过上述三个使用步骤，降低了安全人员在处理安全事件时的人力成本，效果显著。

6.2 WAF自动封禁

WAF自动封禁模块对接了WAF的IP黑名单库及外部威胁情报和IP风险画像服务。当某些IP的异常告警量、攻击量、访问频率触发了指定规则后，该模块会自动请求IP风险画像服务，当WAF识别风险和IP画像风险均为高危时（防止误封），调取WAF接口对该IP进行黑名单封禁操作，以节省WAF拦截资源和人工操作的时间，并在超过封禁时间后自动解封。

当IP画像无风险，即无法进行双重确认时，也支持人工处理进行自定义封禁和解封，所有自动和人工操作均会发送邮件给站点负责人。

该功能大幅缩短了外部扫描式攻击和业务类攻击的响应时间，也是目前天启平台效果最为显著的功能之一。

四、写在末尾

安全威胁响应虽然是很成熟的领域，但其演变一直没有停止。在新技术尚未爆发前，它的迭代与优化依赖于安全团队及其它技术团队日常工作中的思考与反馈。希望笔者在文中的阐述能为大家带来一些启发，相关细节、纰漏也欢迎大家交流指正，感谢阅读！

作者简介

XI，资深信息安全专家，信也科技集团信息安全部技术Leader