“攻防演练，堆人就行？”“听说这次两个月...”

白帽胡子哥

于 2024-08-02 20:08:32 发布

阅读量695

点赞数 11

文章标签：小程序 web安全网络安全

本文链接：https://blog.csdn.net/wangluo12138/article/details/140879288

版权

在这里插入图片描述
作为安全部门中的一员，有时确实挺心疼自己的部门领导，怎么说呢，一大把年纪还被总经理指着鼻子说“千万别再出错了”“千万别再扣分了”“千万别再被有关部门点名批评了”，这换谁心里能好受？唉，去年骂完，今年警告，护网行动真是要了老李的老命咯。

顶着总经理劈头盖脸的复盘，我瞥了眼老李，没想到这次他竟一改去年的鳖孙样，摆出了一副老神在在的样子，怎一句“死猪不怕开水烫”了得……嗯？难道老李已经找好下家了？准备在护网前后来个临时跑路？哇，不愧是老李，果然够阴险……不对！他若真的甩手不干了，那这护网的压力岂不是……

短短一瞬间，冷汗从我脊背上缓缓滑落……

在这里插入图片描述

糟糕的复盘

“我不想再听到什么人手不够、产品太多等理由，平时你们要预算公司批了吗？要经费公司拒绝过吗？到要护网了，和我说人力跟不上，那你们布置那么多安全产品干嘛？关键时候发挥不出作用，那不就是在浪费钱？”总经理犀利的眼神从每个安全部门人员的脸上划过。

随后总经理又复盘了以下几项内容：

1、确认资产信息和属主信息，QQ、微信、钉钉群不得开启‘免打扰’，任何事只要遇到问题就务必在群里进行及时的沟通。

2、安全部门要联系所有安全厂商，让他们负责好各自的产品，没有厂商支持的产品要由安全团队自己负责。护网期间，要做到每小时验证一次安全产品，确保其可用性。这里所谓的可用不仅仅是ping通、端口通，还包括设备能够登录，CPU、内存、磁盘、会话数等都要在正常指标内。同时，所有巡检过程都要有记录，方便后期追踪。

3、钓鱼邮件是护网的关键，因此要做好钓鱼邮件的分析、识别、通知、邮件拦截、域名拦截、IP拦截，同时不要在封禁IP时影响到公司业务。

最后，总经理还阴阳怪气地补了句：“为了这次护网能够顺利进行，公司专门安排了模拟演习，安全部门可以好好检查下自己的水平，不要到正式考试时给公司丢脸。”

听此复盘，只能说领导们还真是站着说话不腰疼。也不看看都啥时代了，攻防之间对等吗？安全部门发现服务器异常后，难道不需要登录服务器、查看数据、封禁IP、打电话、发邮件吗？一次完整的应急响应，至少涉及10个系统、界面以及人脑CPU上下文的不断切换，“我们可能做到你所要求的‘及时’吗？”殊不知单纯依靠人员之间的沟通和信息传递，根本不可能快速、准确地获取应急响应过程中的各类信息？

还有人肉巡检……不是，生怕别人不知道你总经理是技术出身呗？还“所有巡检都要有记录”，安全人员都哪吒啊？部署在这里的软硬件系统有数十个，就算我们有三头六臂也不可能面面俱到啊……

我无助地看向老李，希望他能为我们出出头，反驳一二。这不看还好，一看差点让我失了智，老李竟在那儿偷偷玩手机！光天化日，朗朗乾坤，你老李不顾护网前夕的准备工作，总要想想火冒三丈的总经理会对我们这些安全人员做些什么吧？就这么弃我们于不顾？你老李倒是找好了下家，可我们这些日日夜夜为你鞍前马后、并肩作战的队友呢？

在这里插入图片描述

意想不到的工具

会议结束后，我立马来到了老李的办公室，摆出了一副生无可恋的样子。老李忍不住笑出了声：“怎么，老总的话给你压力这么大吗？护网很难吗？”呵，老李可真是老年痴呆了啊……“去年发布护网成绩时，您老在马尔代夫喂鲨鱼吗？今年要再这态势，我们就都得被总经理拿去喂鲨鱼。”

老李波澜不惊，只小声问道：“那你说说，护网对我们来说怎么就难啦。”都到这份上了，还和我故作深沉……“怎么就难了？领导问这话不摸着自己的良心吗？**那么多的系统需要登录，那么多的资产需要调查，从响应到溯源，从巡检到报告，啥事不难？我们人手够吗？面对智能化的攻击，我们能做到及时响应吗？安全人员真就要做到7x24小时待命呗？**折腾老半天，最后成绩还不理想，还要被总经理说：‘要你们安全部门有啥用？’我们是有多卑微，才要受这苦？”说罢，我顺势擦了擦眼角，只可惜实在哽咽不来。

“行啦行啦，你还委屈上了。放心吧，这次护网绝不可能出现以上这些问题。”看到老李满脸的胸有成竹，我不禁疑惑：“为啥呀？我们这也没做啥改变呀？”

“哈哈，怎么没有。”老李长笑一声说道：“今年对我们来说，最大的改变就是装上了雾帜智能的SOAR产品HoneyGuide。”

超乎想象的SOAR

SOAR？我将信将疑地看向老李。

“对，就是SOAR。所谓SOAR，其核心是将各类安全应急响应过程中的动作进行组合，按照剧本化的方式自动开展应急响应工作。借助编排好的安全应急响应剧本，当安全事件发生时，系统将通过自动化的手段进行响应。”老李像是早就准备好了台词，滔滔不绝地介绍着：“换言之，SOAR可以全面加速事件调查、数据分析和设备操作的过程，减少这些环节中不必要的人员参与，大幅提升响应速度，提高响应水平。当然，面对啥钓鱼邮件、巡检、封禁等，那都是手到擒来。”

在这里插入图片描述

可能是因为事实胜于雄辩，也可能是因为实在不愿再看到我这将信将疑的神情，老李说了句“我们在模拟演习时见分晓”便将我赶出了办公室……呵，这老李，我倒要看看雾帜SOAR有多神奇！

不久，模拟演习便开始了。虽然这只是模拟演习，但由于去年实战时所带来的阴影实在太大，所以这几天我总是提心吊胆的。同时我也多了一分好奇和希冀，想知道老李是否真的会背叛组织。

或许是应了我这前后矛盾的期待，模拟演习开始后没几天，系统便发出了告警……“SIEM、SOC、日志都登录了吗？”“端口开放、资产漏洞、变更记录都调查了吗？”“确认是哪里来的IP了吗？”“有谁知道分公司XXX是哪个业务的员工？”一如既往，安全部门又开始了鸡飞狗跳……至于我，似乎已经忘记了和老李之间的谈话，只忙碌在防火墙和WAF策略之中。

也就在这纷纷扰扰之际，忽然有人说道：“大家快来看，系统自己在响应了！”所有人听到后顿时放下了手上的工作，并第一时间都想去一探究竟。直到此时，老李才优哉游哉地出现在了我们面前。

“若还像去年那样临时响应，攻击队不早就‘打完跑路’啦？”老李双手背后，似世外高人一展风度翩翩：“早在几周前我就已经设置好了剧本，小杨没和你们说吗？”部门其他员工顺势向我看来，我这才想起老李口中的SOAR。

老李继续解释道：“让系统自动响应的是雾帜智能SOAR产品HoneyGuide，其也是我们这次护网行动的关键所在。大家趁演习期间，都好好熟悉下吧。”

经老李介绍，原来HoneyGuide能通过内置一键找人、找资产等剧本，帮助客户快速完成信息增强和上下文丰富。在对接客户的LDAP、CMDB、HR、准入、审计、SSO等系统之后，每当遇到安全响应过程，都可以通过剧本快速开展用户、IP、情报等信息的查询和收集。类似不要错封IP等事项，这在HoneyGuide面前就是小儿科。由于此过程是通过预先编排好的安全剧本，因此速度更快，准确度更高，而且无需依赖在线支持。

在这里插入图片描述

同时，更让人惊喜的地方在于，此剧本编排不止局限于找人、找资源，对于其他方面的响应，安全人员也可以提前编排剧本。就像这次模拟演习时的事件告警，老李早就图形化地将事件响应过程进行了剧本化创作，到事件发生后，系统便能依照提前编排的剧本，自动调用各类IT系统、安全产品或SaaS服务，开展自动化的应急响应工作。从结果来看，经过编排好的SOAR剧本能够在1分钟内，将安全人员需要的信息以几乎零等待的方式展示在面前，而且没有频繁的人工沟通、信息传递失真和结果反馈延迟等问题。

看来，老李这次是真的找到“救命稻草”了！

HoneyGuide在应急响应时真的做到了将各类安全产品相互协同、联动，并大大节省了沟通成本，**在HoneyGuide的在线协同作战室，安全人员可以直接通过信息增强剧本查询相关信息，无需多余的交流……**那么对于巡检呢？HoneyGuide是否一样能提前设置好剧本？

答案是肯定的。

对于HoneyGuide来说，只要把公司的设备信息配置上去，机器人就会通过剧本开展7x24小时自动化巡检。通过编排好的安全剧本，HoneyGuide能定时登录各个目标设备，确认系统状态是否正常，在发现异常时会自动通知安全人员，必要时某些设备还可以执行影响范围可控的自恢复操作。

在这里插入图片描述

从对比上来看，原本需要人肉7x24小时每小时完成一次的巡检工作，在交给HoneyGuide后，其可每小时自动完成一次巡检，一次巡检时间不超过5分钟，其效率大幅提升，可谓全面解放了安全人员的双手！

量身定做的场景剧本和服务

天不生我HoneyGuide，安全万古如长夜。怪不得老李会发出灵魂拷问：“护网到底有啥难的？！”

毫不夸张地说，模拟演习过程中，连我们最担心的钓鱼攻击也变得微不足道了。有了HoneyGuide之后，我们针对钓鱼邮件这种攻击场景专门做了应急处置的安全剧本。实现过程里，HoneyGuide先提前完成了和各个系统安全能力的对接，并能通过API、SSH、HTTP等方式实现，据雾帜介绍，HoneyGuide目前可支持170+国内外主流安全产品能力的调度，对于尚不支持的安全产品，雾帜、合作伙伴或者客户工程师可以基于HoneyGuide开放的SDK（支持Java、Python两种编程语言）快速开发相应的APP。

之后，当我们针对某个钓鱼邮件进行响应时，安全人员只需要通过HoneyGuide产品界面，把钓鱼邮件原始eml文件作为参数传给剧本，就可以开展自动化应急响应。响应过程完全不依赖人员的经验、情绪和在岗状态，实现的是全自动化的能力。当然，必要的时候，安全人员也可以参与其中，实现人机协同。

在这里插入图片描述

想我堂堂安全部门，竟也有在护网前夕悠闲自在的时候！HoneyGuide真可谓是上帝还予安全部门的公平。

演习将要结束时，老李可能实在看不惯我这到处炫耀的闲样，竟问起演习报告写得如何了……哈，真是给我整笑了，像HoneyGuide 可一键输出相应报告这种事，对于我摸鱼小王子来说，还能不自己琢磨出来？……于是我回道：“领导，真不是我偷懒，主要是雾帜智能还为客户配备了现场专家和工程师团队，可帮助我们快速开展策略调整、产品适配，那些个报告他们都已经教会我在哪里一键输出了……”

“哼！不是说产品好，你就能放松警惕……这样，你再去HoneyGuide人机协同作战室多做几次安全剧本沙盘演练吧，多熟悉熟悉产品技巧总没错。”

我真是服了这老登……

因安全产品而趾高气扬

下班了。哈，作为安全人员竟能在护网前夕轻松下班，让人羡慕不？更让人嫉妒恨的还在后头呢，有了HoneyGuide的帮忙，连夜班值守人员都去掉了大半，哥们再也不用“拿健康换钱财”咯！

咦？那不是小石吗？

小区附近，某集团安全运维人员小石迎面走来，看他这春风得意的样子，难不成……他们公司也配备了HoneyGuide？

“你咋这么悠闲？”我们异口同声问向了彼此，作为曾经的同期，此刻我们又奋斗在了各自公司的最前线。“小石同志，难道你们公司也安装了……？”这一刻，我非常肯定小石和我一样，都是找到组织的幸运儿。然而，小石的回答还是让我既失望又庆幸的：“嘿嘿，这次护网我们公司找了安服相助。只能说公司终于愿意为我们安全人员着想了，哈哈。你们呢？难道你们也找了安服？”

“没有。这次我们公司安装了雾帜智能的SOAR产品HoneyGuide。你知道SOAR产品吗？SOAR是自适应网络安全框架中一个重要的实现方式，它……”

“啊？就这么点事还需要新添工具啊？多找点人不就得了……”从小石的脸上，我看到了满脸的不屑。

“可你听说了吗？这次护网需要两个月的时间……”

在这里插入图片描述