SOAR是Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。

前情

还记得此前的Putty后门、XShell后门以及XCode Ghost事件吗?

近期,腾讯安全应急响应中心及时发布安全通知,将业界视角重新拉回【软件供应链安全】这一关键领域。

以下为引用:

近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSRC在此建议各开源镜像站以及对开源镜像站有依赖的公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。

是的,应急响应的警报拉响了!如今,有无数的企业在使用Python开发,大量的Linux发行版都在使用Python。而开发者惯用的仓库PyPI更是所有Python开发者离不开的基础仓库。一旦它被投毒,影响巨大……

作为国内领先,国际暂不很知名的SOAR产品厂商,上海雾帜智能科技有限公司第一时间嗅到了应急响应的气味,并组织安全专家以最快速度拿出了软件供应链安全应急响应剧本,帮助我们的客户加速应对突发事件。

响应

打怪靠装备,应急响应得靠HoneyGuide!雾帜智能安全专家在收到腾讯安全应急响应中心发布的安全通告后,立即开展了分析研判,其中重点情报如下:

打开网易新闻 查看精彩图片

基于此,雾帜专家迅速拟定应急响应策略,如下:

·先止血:第一时间阻止域名解析或解析到指定服务器

·同步查存:查询企业内部是否有中招的终端

·查询过往的DNS解析日志

·查询防火墙会话列表历史记录,匹配CC服务器IP地址

·查询上网行为管理系统中恶意URL的访问记录

·根治:排查企业Python库是否受感染

·监控:对重点域名、IP进行访问监控或拦截

·通知:人员通知、修复通知、培训通知等

在没有自动化应急响应工具的情况下,企业可以依据上述思路开展人工排查。如果已经部署了SOAR解决方案产品HoneyGuide,则可以通过剧本编排的方式进行快速响应。

安全剧本编排

正式启动剧本编排前,需要对安全响应过程中的每个环节进行能力识别,判定出要在哪个系统或工具上执行哪些动作,如下图所示:

打开网易新闻 查看精彩图片

企业可以根据上述梳理的安全动作以及对应的能力,通过SOAR产品进行安全剧本的编排。当然SOAR产品需要提前完成对上述能力的调度支持(HoneyGuide目前已经支持100+国内外主流安全产品、系统或设备的能力对接)。

以雾帜智能公司自己的环境为例,我们使用了阿里云、DNSmasq、微步OneDNS、钉钉等产品完成了一个小规模的应急响应剧本编排,如下图所示:

打开网易新闻 查看精彩图片

注:其中针对PY库感染情况的检查可能需要人工操作,所以安全剧本中增加了人工节点。

上述剧本可以将原来需要多人在岗在线花费数个小时才能完成的应急响应工作缩短为几十分钟,甚至更短的时间,从而大幅提升响应速度,降低人力成本。同时,剧本一旦编写完成就可以反复使用,未来同类场景可以持续实现降本增效,增强企业整体安全能力。

补充

小编人在登机口候机,经历了反复的延误通知……终于(第二天)快登机了。行文仓促,望见谅。本文中针对PyPI库遭投毒事件的应急响应剧本的设计思路得到了基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群内群友们的大力支持,是多个互联网一线大厂安全专家的智慧结晶。

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

各种奇思妙想,电光火石,不一一列出,感谢群友!

关于雾帜智能

雾帜智能:

2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。

HoneyGuide:

2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了“智无界.AI无极 雾帜智能风险决策平台发布会”。一款以SOAR+AI作战室为核心的安全应急响应类产品HoneyGuide正式面世:

·用“AI机器人” 和“安全作战室” ,解决人人、人机的协同问题;

·用“安全剧本”将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

打开网易新闻 查看精彩图片

HoneyGuide在“自然语言交互”、“安全动作推荐”和“安全剧本智能优化”等方面了引入了人工智能因素。通过在关键环节使用AI技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。