自有防火墙、IPS等防御类设备以来,人们在意识上早早的认识到防御是需要自动化的,但在行动上却远远做不到。


做不到的原因是,企业对业务连续性要求非常高,误封是绝对不能接受的。其实想想也可以理解,安全是用来保护业务的,不是来摧毁业务的。


但随着攻防演习的深入和自动化攻击的兴起,企业对自动化防御的需求更加迫切,常态化的攻防演练使得自动化阻断成为防御方赢得更多反应时间的关键手段。

阻断的挑战:低效

在经历一次次实战攻防演习后,这家基金公司(简称“甲厂”)对于自动化阻断网络攻击的需求,更加强烈了。

“(遇到安全事件)会先看告警,经研判确认存在真实攻击后,再协调资源进行处置。”甲厂安全负责人K哥(化名)表示,整个过程需要团队在SIEM、IPS、WAF等设备之间来回切换,动辄成百上千的IP、域名还需要手工写入防火墙进行封禁。

通过一个Excel表格甚至是在办公室里喊一声把xx IP封掉,再常见不过了。从发现攻击到阻断攻击,大量的时间被浪费在反复沟通和导入封禁名单上。

另一家知名证券公司(简称“乙厂”)同样感到流程十分“割裂”:由于种种原因,安全团队对于网络攻击的阻断需求,需要协调网络部门在多个不同防火墙上手动录入IP完成封禁。

高昂的沟通成本和滞后的时效性,让乙厂安全团队萌生了自建阻断器的想法。

封禁的困境:误报

由于IPS等防御设备的存在,基金公司甲并不缺乏封禁能力。然而,居高不下的误报率,让他们对自动化阻断望而却步:公司管理着数千亿规模的资金,一次误封带来的交易中断,损失显然是难以接受的。

尤其是在攻防演习期间,IP封禁更是阻断红队网络攻击最直接也是常用的手段之一,应用非常频繁。但每次下发封禁策略后,接到业务团队打来的电话,可不是什么好兆头。

“我们也害怕会影响到业务。”在接触到微步OneSIG后,K哥团队表现得十分谨慎,并没有一开始就开启拦截功能,而是在仅检测的状态运行,并在此过程中验证告警准确率。

随着时间一天天过去,OneSIG却自始至终都没产生什么误报,K哥这才放下心来将拦截功能同步开启。

“有了OneSIG进行自动阻断后,为安全团队抢得了更多的处置时间。”K哥说,根据测算,OneSIG能够以0.03%的误报率,阻断90%以上的网络攻击。

事实上,K哥对于OneSIG的检测能力,一直有着很高的期待:相比传统IPS,OneSIG集成了微步高精准威胁情报和漏洞情报,并且使用了威胁情报和入侵防护双检测引擎,在其所测试的同类型产品里,是少有的能够对入站、出站双向流量进行自动化检测与拦截的威胁防御产品。

这一点非常重要。

有一家期货公司表示,在机房出口的防火墙和交换机之间串行接入了OneSIG后,整体运行情况良好,没出现过误封。特别是反连,哪怕失陷后也可以在边界阻断,弥补了不便于在服务器上安装安全软件的缺失。

协同与联动:开放

与甲不同的是,为了避免误封,乙厂设置了严格的校验机制:“在SOC和SOAR上有封禁剧本,产生告警后,先看是否在白名单里,再结合交易日的时间段,明确封禁的时间,然后调用OneSIG封禁。”

由于可以通过API调用与SOC进行联动封禁,整个过程基本上以半自动化甚至全自动化方式进行,并不需要太多人工的参与。

除通过API外,基于标准化的Syslog系统日志,是实现联动封禁的另外一种重要姿势。

API联动的好处有很多,包括灵活性强、实时性好、易于扩展等等,但适用场景相对有限;Syslog则很好了弥补了这方面的不足,能够很方便的在不同设备之间传输日志信息。

“最开始是只有API的,但用着用着发现某些场景效果不太好,后来提出需求,微步很快就加上了(Syslog)。”K哥说,“目前OneSIG在边界是我们非常重要的防御产品,而且非常开放,可以与NDR等检测产品联动,逐渐形成自动防御的体系。”

随着OneSIG使用的不断深入,多设备与OneSIG协同实现自动化阻断,成为了甲厂安全运营的习惯,也是K哥眼中OneSIG的最大价值所在。

改进与完善:共成长

算起来,OneSIG在甲厂内部已经度过了一年多的时光,被其拦截的攻击早已不胜枚举。

“我们可以说是和OneSIG一起成长起来的。”在K哥看来,既然花了这个预算,就一定要把产品用好。

每逢遇到搞不定的事情,K哥总是第一时间联系微步进行改进。一年多来,OneSIG的功能有了很大程度的完善,除上述部分提到的新增Syslog联动阻断方式外,还包括:

  1. 对阻断功能进行优化,可在混合网络环境中旁路阻断恶意DNS请求;
  2. 新增告警主机页面,能够更加清晰地掌握内网失陷主机情况;
  3. 防守展示大屏目前仍在规划中,预计很快就会落实。

但K哥并没有止步于此,下一步的部署方案已经在规划当中:在即将升级的新版本中,OneSIG入侵防御能力有了很大的增强,还能够对HTTPS流量进行防护,因此他打算在数据中心出口再串接两台(主备部署)OneSIG,替换掉即将到期的IPS。

在他看来,边界自动化防御是很重要的,只不过无论是IPS还是所谓的下一代防火墙,做得都不够好。

结语

现在,不管是甲厂还是乙厂,OneSIG用的都相当成熟了。

“在我们目前的安全运营体系里,整体跑的很好,没有什么特殊情况,都不怎么需要去看OneSIG的后台,它自己闭环运行就可以。”对于一款磨合了一年多的威胁防御系统,“不用怎么看”这五个字,就是K哥对OneSIG的最大信任。

从这个角度来说,OneSIG可以把自己运营的很好。