自动化在安全建设中的应用-唐大锦

研报主要内容总结

一、背景与挑战

• 背景：疫情期间，企业面临降本增效的压力，希望通过自动化减少人力成本。
• 挑战：外部攻击手法多样且专业，仅依靠传统安全设备难以及时发现威胁。

二、自动化的优势

• 提高效率：通过自动化关联多种安全设备，快速收拢风险，及时发现威胁。
• 应用场景：
  • 多云资产自动化同步：涵盖ECS、EIP、DNS等。
  • 联动安全扫描器自动化扫描。
  • 安全事件响应：通过自动化技术预处理事件，降低平均修复时间（MTTR）。
  • 自动化响应：如自动封禁疑似受攻击的IP地址。

三、安全编排与自动化响应（SOAR）

• 定义：由安全编排（SOA）、事件应急响应平台（SIRP）和威胁情报平台（TIP）三部分组成。
• 实现工具：使用开源工作流引擎n8n，帮助企业快速实现SOAR落地。
• 特点：
  • 丰富的节点：官方提供超过220个应用程序节点，包括Google、GitHub等。
  • 灵活的数据处理：数据以JSON格式共享和传递，可通过JavaScript代码进行加工处理。
  • 多样的触发机制：支持定时触发、事件触发、Webhook触发等。

四、SOAR在安全运营中的应用

• 自动化监控告警：定时分析安全日志，发现异常并自动推送告警。
• 自动化响应：接收SIEM或其他安全平台的事件输入，自动执行响应操作，如关联分析和生成工单。
• 具体案例：
  • 堡垒机异常命令监控告警：关键词匹配，如mysqldump、mysql -u、sz、ssh等。
  • Log4j攻击检测：主机疑似失陷告警。
  • 漏洞预警自动化响应。
  • Web攻击之IP自动化封禁。

五、结语

• 关注平台：安世加专注于网络安全行业，通过多种活动形式促进交流学习，提升行业整体素质。