物联网安全编排、自动化与处置响应技术研究
摘 要
针对物联网的安全编排与处置响应机制以及自动化处理流程, 提出了一种集成性解决方案, 该方案具备全面的安全应对能力, 包括威胁检测、快速响应、威胁中止以及预防措施整合, 旨在提升安全运营效率并降低人工投入. 开发一个基于预先设定场景的安全编排系统, 系统将可调度的安全对象进行智能编排, 自动生成安全剧本;在运行过程中, 系统会根据实时态势分析结果自动触发预定编排方案的执行, 调度资源并下发安全指令;该系统还具备自学习能力, 可根据实际运行情况动态优化应对策略, 这样不仅能够显著缩短威胁处理时间, 还能有效降低运营成本.
前 言
2017年, Gartner将其 SOAR 技术重新定义为安全编排.自动化与应对措施. Gartner表示, SOAR 技术仍在快速演进中,其内涵可能还会发生转变,但就其核心目标而言,即专注于安全管理运维以及强化应急响应能力这一方向是恒久不变的[1].然而,在物联网领域中, SOAR 技术的应用仍然存在一定的局限性.本文提出了一种整合性更强的高效解决方案.该方案集成了多种功能模块,包括问题排查.及时反应.阻止威胁以及预防措施等.通过整合来自多源的数据流和报警信息,并利用统一调度指挥的方式协调各参与方的工作流程.最终实现了标准化事件处理.这种架构设计不仅提升了资源利用率,还显著增强了系统的整体效能
0 1
物联网SOAR现状与解决思路
1.1 物联网安全现状
随着物联网技术的迅猛发展,在推动物联网承载能力的同时也带来了日益增长的网络规模与系统架构的复杂化。据相关数据显示,在2021年全球范围内物联网设备数量实现了8%的增长态势,并已达到12.2亿个活跃连接点[2]。这不仅增加了网络安全的风险级别还放大了潜在威胁范围从而使得黑客获取信息与资源的机会与途径愈发增多最终引发了更为严重的经济损失
面对这些挑战,在构建完善的网络安全防御机制之前是不够的;为了实现有效的信息安全管理并确保企业、个人及重要系统得到全面保护。
IoT Analytics首席执行官Knud Lasse Lueth预计至2025年,在缓解供应限制和加速增长的基础上预计将出现约270亿台联网物联网设备[²]。研究表明,在卡巴斯基发布的报告《突破极限:如何解决特定网络安全需求并保障物联网系统安全性》中发现43%的企业承认其部分物联网基础设施仍缺乏安全防护措施。随着相关事件数量激增企业不得不寻找更为便捷的整体安全解决方案因此SOAR作为一种新兴的安全技术逐渐受到关注
SOAR系统则能显著增强安全威胁的可视性,并通过自动化技术手段,则能显著提升运营效能。而优化配置则可进一步强化这些优势。
1.2 物联网SOAR存在的问题
在物联网产业持续发展方面不断取得突破,在SOAR专用产品数量上也呈现出快速增长态势。从当前情况来看,在SOAR领域存在着一系列亟待解决的问题。
a)非标准化化处理。物联网信息安全领域内的检测、评估以及准入机制均未建立统一的标准体系。各分析检测引擎对同一风险事件的处理优先级存在差异,并由此导致整个系统在安全管控方面出现执行层面的问题,进而使得产品整体安全标准参差不齐,并且存在较多的安全漏洞。
b)采取的检测手段较为单一。针对威胁检测的效果实施了相应的评估,在该评估手段存在局限性的前提下,无法全面保证检测效果的真实性和可靠性。此外,在检测主体方面也存在不足之处,在当前的安全防护体系中仅依赖单一类型的检测机制来完成风险监测任务。这种单体式的安全防护模式难以有效覆盖潜在风险点
c)智能化程度有待提升。目前大部分剧本的编排仍依赖于人工完成。伴随着物联网技术的进步,相关解决方案持续进行优化升级,这使得人工工作量面临持续增长的趋势。
1.3 解决思路
就告警管理优化方向展开探讨,在现有技术架构下构建完善的告警体系需要涵盖以下几个关键维度:首先是基于统一规范的信息存储机制——即对各类告警信息实施字段统一化处理;其次是建立统一的关联机制——即通过建立统一的关联机制实现各平台间的信息共享与整合;最后是完善的问题定位与处理流程——即构建统一的标准流程进行问题定位和处理等多维度优化措施
b)为了解决处置过程中单一化导致的处理效果评估不足问题,请提出一种“响应式评估+持续式监控”的双重评估机制。“响应式评估”是指对处理结果的成功与否进行检验;而“持续式监控”则是指在处理完毕后一段时间内不再出现相同的异常情况(即所谓的"无重复异常"),其核心在于确保整个处理过程的安全性和可靠性。
c)针对编排不够智能化的解决方案。作为提升团队协调性和决策效率的关键环节,在实现编排智能化的过程中,核心在于能够智能生成并优化剧本。建议综合考虑以下几个维度:包括剧目资源库、动作序列库以及知识图谱等技术手段,并结合安全人员的处置经验进行模拟验证和持续改进。通过AI技术生成并模拟优化剧本,并进行验证校验以确保方案的有效性与可靠性。
0 2
物联网SOAR设计
SOAR的本质是实现了从"人与安全工具"向"机器与安全工具"交互转换的关键环节。在可编排的安全流程中实施自动处理和验证操作的模式被定义为剧本(PlayBook)。这种模式通常由一个或多步应用或动作构成。通过对告警数据进行分析来识别应执行的安全流程方案,在预先规划好的步骤指导下自动完成相关操作。采用自动化流程的主要优势是可以显著减少重复性劳动任务,在提升整体应对效率的同时降低了人为失误的风险。
请参考图1所示内容,请注意以下几点:该系统的主要模块包括告警管理、案件管理和剧本管理等核心功能。
图1 物联网SOAR整体架构图
2.1 告警管理
告警管理主要包括告警分诊、告警调查、告警响应和告警库。
改写说明
b)进行 told investigation 时会涉及 three main components: 包括 told overview, told statistics 和 told tracing. 其中的 "told overview" 主要是为了提供 overall 情况概览. "told statistics" 则有助于从 multiple dimensions 全面掌握 current 的报警信息. 而 "told tracing" 则能够帮助 安全管理人员更为深入地剖析 related 的 security incidents.
c)告警响应涵盖告警处理与对接管理,并将分类结果输入至告警数据库。其中,告警处理即是对分派后的结果进行应对措施。这将导致执行后续流程。
d)告警库是所有告警的合集,服务于告警响应和告警分诊等。
告警系统作为物联网安全防护的重要保障,在网络运维中扮演着关键角色。它是构建网络运维支撑体系的关键要素之一。基于此,在制定物联网SOAR告警标准化方案时需要重点关注哪些方面?
a)字段标准化。可参照国标《入侵和紧急报警系统告警装置技术要求》(GB/T36546-2018)。
b)关联标准化。涉及告警预处理、告警分析和告警合并的标准化。
c)调查标准化。涉及告警总览、告警统计和告警溯源。
d)告警库管理的标准化。对告警的分类、去重、合并和管理等的标准化。
e)触发规则的标准化。对规则的触发条件和处置内容进行标准化。
2.2 案件管理
案例管理系统涵盖多个核心组件:案例概览、案例处理流程模块、痕迹管理模块、案例报告系统、协作分析模块以及存储库。该系统旨在帮助用户对一组相关告警进行流程化和持续化的调查分析及响应处理。该模块应支持根据不同类型案件配置相应的处理流程,并对其执行情况进行监督。通过告警管理系统持续采集并积累与案件相关的痕迹物证(IOC)和攻击者战技过程指标信息(TTP)。借助编排功能模块,在调查中追踪并记录所有相关告警的执行情况及操作步骤。系统将深挖疑点,并提供详细的线索追踪路径以辅助案情侦办工作。
2.3 剧本管理
剧本管理作为SOAR的主要功能和基础能力被重视。戏剧作品(Theatrical Plays)作为剧作编写的核心内容被精心设计以满足专业编导的需求。戏剧作品编写模块由多个部分构成:包括剧作编辑器用于构建角色与场景信息、剧作模型建立角色之间的关联关系、剧作调试工具帮助发现潜在问题以及相关的发布系统支持戏剧作品的展示与分享。
剧本管理作为SOAR的主要功能和基础能力被重视。戏剧作品(Theatrical Plays)作为剧作编写的核心内容被精心设计以满足专业编导的需求。戏剧作品编写模块由多个部分构成:包括剧作编辑器用于构建角色与场景信息、剧作模型建立角色之间的关联关系、剧作调试工具帮助发现潜在问题以及相关的发布系统支持戏剧作品的展示与分享。
剧 本 对 安 全 告 警 事 件 处 置 时 关 联 处 置 应 用 和 行 作 的 手 段 。 剧 本 的 底 层 驱 动 是 工 作 流 引 子 , 并 进 而 进 行 安 全 护 照 设施 的 调 用 。 剧 本 处 理 流 程 如 图 2 所 示 。
图2 剧本处理流程
对已知威胁情况,SOAR系统能够直接调用现有的安全剧本进行响应处理。然而,在应对未知威胁时,则需要依赖于人工介入并将其记录下来形成相应的处置方案。该系统提供内置剧本和手工定制两种编排方式供用户选择使用。在剧本执行过程中,默认采用工作流模式与人工操作相结合的方式运行:即系统能够自动处理部分事务,并在必要时触发人工决策以补充完善;此外,在生成新的处置方案时,默认会参考案例库和剧本库的内容,并结合当前情况自动生成优化后的应对策略。
要实现编排智能化的核心在于能够自动生成符合要求的剧本方案。具体而言,在这个过程中系统将基于这些资源以及安全人员的经验,并通过机器学习技术自动分析后自动生成相应的剧本方案。此外, 该系统还可以构建模型来评估不同安全事件对剧情安排的影响, 并在此基础上进一步优化并验证相关剧情内容, 最终输出出一套具有较高实用价值的智能化剧情方案。
2.4 编排引擎
编排指的是将多个系统或同一系统内不同组件的安全能力通过接口按照特定的逻辑关系整合在一起,以便实现一系列安全操作流程。在提升协调性和决策效率方面发挥着核心作用。编排引擎主要包括工作流引擎、应用与动作接口、自动执行引擎、应用与动作库、应用开发包以及应用集成框架。
编排基于剧本来实现描述;支撑剧本执行的核心是工作流引擎;该引擎解析剧本内容并驱动自动执行引擎完成按剧本编排的各项任务;应用与动作接口通过API统一整合了SOAR安全体系中的相关技术设施;自动执行引擎则负责确保自顶向下任务的顺利推进;相关的功能模块包括标准化的应用与动作库构建以及相应的开发支持框架。
当前市面上大多数SOAR系统仅具备内部流程处理和人工操作剧本编写的能力,并未支持智能自动化生成剧本来讲。智能化的调度安排能够使SOAR系统的操作更加便捷高效,并显著提升处理能力。这将成为未来发展的主要方向之一。
目前情况下实现编排智能化生成剧本,还需要以下条件。
a)需完善应用/动作库,增强与物联网系统对接的能力。
b)需要增强响应能力,丰富响应手段和验证手段。
c)需要构建SOAR所在物联网环境的完善的安全威胁知识图谱。
2.5 安全响应
该安全响应系统具备应对不同场景的安全事件处理能力,并能智能匹配并调用相应的防御场景。系统不仅会自动执行剧本中的操作流程,还会在决策指令下启动关联设备,从而完成相应的防护拦截措施。
安全事件响应涵盖告警处理流程、实体生命周期管控、问题记录处理流程以及事件响应系统中的一体化处理流程等核心模块。在完成安全事件响应后,隔离与修复作为后续的重要环节之一具有不可替代的作用。
将自动化安全验证环节整合进SOAR的编排和响应流程中,在相较于传统的人工验证时带来的显著提升包括:能够实现固化与优化经验并积累反馈;同时提升了整体的工作效率;并且减少了人为操作失误带来的风险。
针对此问题,在物联网SOAR领域中传统单一的方法存在局限性。本研究则建议采用一种基于A + B的两重机制来实现响应与告警的有效结合。
a)响应验证。对响应执行结果的成功或失败进行验证。
b)告警检测机制的实施过程如下:当系统正常回应后一定时间内未接收到重复告警记录,则判定为异常情况并触发工单报告流程;否则将该情况标记为待处理的安全排布任务,并由运维团队进行人工排查处理。当系统正常回应后仍接收到新的告警提醒时,则需根据实际情况结合以下信息进行综合分析:包括系统的响应结果、最新的新接收告警信息、人工排查的情况以及AI智能学习到的经验数据来进行后续优化设计以有效防止同一编排任务被重复执行。
0 3
结束语
随着物联网技术的迅速发展,在这个日益成熟的市场背景下
SOAR则常与企业内的安全防护运维中心(SOC)协同运作。该方案通过监控来自外部的安全威胁情报源,并及时触发应对机制,在协助IT团队迅速、高效地解决多种复杂的系统威胁的同时显著提升了整体运营效率;并且能够借助强大的自动化能力,在减少资源消耗和缩短处理时间方面表现出色;同时增强了对潜在威胁的精准识别能力;最终并未增加对相关操作人员的技术要求。
在成本方面,基于SOAR方法论的优势并非无条件存在,而是需要满足特定的前提条件.威胁情报作为输入数据是SOAR运行的基础要素,而构建标准化的知识库则是确保其有效运行的前提条件.业务流程优化则是其持续改进的关键基础.企业在复杂多变的竞争环境中面临多重挑战,在日常运营中需要应对的因素包括业务流程不断优化以及组织架构持续调整等.