简析自动化在安全运营中的4个典型用例及流程

自动化技术在网络安全运营中的应用对现代企业非常重要，不仅可以解决网络安全技能不足问题，同时还能够显著提升组织的整体安全运营效率。不过在现代企业组织中全面实现网络安全自动化的潜力并不是一蹴而就的。随着信息化环境、威胁防护和业务需求不断变化，企业可以从一些典型安全运营场景入手，长期做好自动化技术迭代和优化工作，并定期评估和优化调整自动化流程和工具，才能让自动化技术在安全运营中真正有效落地。

本文列举了自动化技术在安全运营中实际应用的4个典型用例，并对其应用价值和工作流程进行了分析。

用例1、自动化攻陷指标（IoC）监测

攻陷指标（IoC）主要用于确定系统、网络或应用程序是否已受到攻击或遭受损害的信息，通常包含已知的恶意活动迹象，如文件哈希、恶意 IP 地址、恶意域名等。攻陷指标监测一直是安全运营工作的重要环节，对于及时识别和响应突发性网络安全事件至关重要。在传统运营模式下，安全团队需要从各种来源手动收集有关各类IoC信息，这需要耗费大量的人力和精力，并会减慢响应过程。自动化的IoC监测则可以大大提高安全运营效率。

工作流程：

•提取IoC：使用文本解析工具或其他自动化方法，以自动化方式从各类安全设备的安全日志或警报中提取出需要的IoC数据。

•与威胁情报关联分析：当需要IoC被提取后，可以通过VirusTotal、URLScan、AlienVault等威胁情报工具的API提交接口，自动化地进行数据汇集和分析处理。这类工具可以帮助企业快速提取出额外的上下文信息，比如IP地址是否与已知威胁相关联，或者域是否被标记为可疑活动。

•汇总分析结果：将IoC分析结果自动化地汇总成单一的综合报告。这一步可以确保所有相关信息都被统一存放，便于后续的分析使用，因而安全分析师能够很容易地评估威胁的真实性和优先级。

•交付数据：经过分析处理的IoC数据，随后通过Slack等通讯渠道来交付，或者直接添加到安全管理系统中的相关事件工单中。这样确保有需要的人可以立即获得所有必要的信息。

用例2、自动化外部攻击面监测

组织的外部攻击面包括所有可能被攻击者利用的面向外部的资产，这些资产包括域、IP地址、子域和公开的服务等。定期监测这些资产对于识别不断变化的资产状况，并缓解其中潜在漏洞非常重要，而这种监测可以通过自动化的扫描、漏洞管理和威胁情报源来实现。

工作流程：

•定义目标资产：外部攻击面监测的前提是要定义出构成外部攻击面的域和IP地址，这些资产应该被记录在一个自动化系统可以识别参照的文件中。

•自动侦察：通过使用Shodan之类的互联网资产测绘工具，定期扫描这些资产。先进的资产监测工具能够准确识别组织敞开的端口、暴露的服务及其他漏洞。

•汇总和删除重复发现：这些扫描所得的结果需要自动汇总到一份监测报告中。任何重复发现的结果都被删除，以确保报告的简洁和可操作性。

•自动提交监测报告：外部攻击面监测报告可以通过电子邮件、Slack或其他首选的沟通渠道来提交。这份报告需要重点反映出新的或发生变动的资产、潜在漏洞和任何可能构成风险的冗余应用程序。

用例3、自动化漏洞管理

应用程序中的漏洞一直是最受攻击者关注的常见攻击目标。而做好漏洞管理需要包含整个漏洞防护的全生命周期，在有效识别漏洞的基础上，进一步评估、排序和处置修复所发现的各种安全性缺陷。开展全面且持续的漏洞管理工作，对于企业组织改善数字化应用安全状况，降低潜在风险，并保持数字资产的完整性和可信度至关重要。在此过程中，企业组织不仅需要遵循漏洞管理的最佳实践，还需要借助自动化的漏洞管理工具和流程。

工作流程：

•定义应用资产：首先应该绘制出存放或托管组织各类应用程序的所有域和IP地址清单。这些资产应该被记录在一个可被识别的文件中，方便自动化系统参照。

•漏洞自动扫描：将已定义的应用资产自动发送到OWASP ZAP、Burp Suite等漏洞扫描工具。这类工具能够执行全面扫描以识别漏洞，包括攻击者经常利用的漏洞。

•收集结果并确定漏洞优先级：自动收集扫描所得结果，并根据检测到漏洞的严重程度确定优先级，重点显示关键/严重漏洞，这有助于将资源分配给最危险的威胁，实现安全投资回报最大化。

•自动补丁管理与修复：将漏洞管理生命周期与补丁管理系统集成，实现漏洞修补过程自动化。减少修补任务的人工干预，使安全人员能够处理复杂问题。尽量缩小识别和修补漏洞之间的时间窗口，减少攻击者得逞的机会。

•安全分析与主动威胁防御：利用漏洞管理生命周期自动化收集和分析漏洞数据，为主动防御获得更多洞察力，主动调整安全策略并优化资源分配，以获得最大效果。

用例4、自动化监测被盗凭据

主动监测有无被盗凭据是组织安全运营策略的一个重要要求。而自动化监测被盗凭据目前已经是一项被各类组织广泛应用的安全运营实践，通过收集来自各种安全泄密事件的数据，可以帮助组织快速了解他们的凭据是否已泄露，从而降低数据泄露的损失。

工作流程：

•汇总用户电子邮箱、应用系统和域：创建一份列表，列出需要监测的用户电子邮件地址、业务系统或域。该列表应包括组织中所有相关的用户账户，尤其是那些拥有特权访问权限的账户。

•查询泄露凭据数据库：借助汇总后的电子邮件地址、应用系统或域列表，自动调用第三方凭据泄露查询服务（如Specops、HIBP等）。这一步包括定期向其发送查询请求，以自动化检查是否有任何电子邮件地址出现在已知的数据泄密事件中。

•汇总和分析结果：收集来自查询服务的响应。如果泄密数据中发现任何电子邮件地址或域，则汇总和分析这些泄密事件的详细信息（比如泄密源、暴露数据的类型和泄密日期）。

•发送警报和报告：如果检测到泄露的凭据，自动生成警报。该警报可以通过电子邮件、Slack发送，也可以作为高优先级工单集成到组织的事件响应系统中。包含有关泄密的详细信息，比如受影响的电子邮件地址、泄密的性质和建议采取的操作（比如强制密码重置）。

•立即执行安全措施：系统可以根据泄密的严重程度，自动执行安全措施。比如说，它可能触发针对受影响账户的密码重置、通知相关用户，并加大监测泄密账户的力度。

•定期计划检查：根据提前制定的检查计划定期查询，比如每周或每月检查一次。这确保组织始终了解可能涉及其凭据的任何新泄密事件，并能够迅即响应。

参考链接：

https://www.bleepingcomputer.com/news/security/4-top-security-automation-use-cases-a-detailed-guide/

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。