自動(dòng)化技術(shù)在網(wǎng)絡(luò)安全運(yùn)營(yíng)中的應(yīng)用對(duì)現(xiàn)代企業(yè)非常重要，不僅可以解決網(wǎng)絡(luò)安全技能不足問題，同時(shí)還能夠顯著提升組織的整體安全運(yùn)營(yíng)效率。不過在現(xiàn)代企業(yè)組織中全面實(shí)現(xiàn)網(wǎng)絡(luò)安全自動(dòng)化的潛力并不是一蹴而就的。隨著信息化環(huán)境、威脅防護(hù)和業(yè)務(wù)需求不斷變化，企業(yè)可以從一些典型安全運(yùn)營(yíng)場(chǎng)景入手，長(zhǎng)期做好自動(dòng)化技術(shù)迭代和優(yōu)化工作，并定期評(píng)估和優(yōu)化調(diào)整自動(dòng)化流程和工具，才能讓自動(dòng)化技術(shù)在安全運(yùn)營(yíng)中真正有效落地。

　　本文列舉了自動(dòng)化技術(shù)在安全運(yùn)營(yíng)中實(shí)際應(yīng)用的4個(gè)典型用例，并對(duì)其應(yīng)用價(jià)值和工作流程進(jìn)行了分析。

　　用例1、自動(dòng)化攻陷指標(biāo)(IoC)監(jiān)測(cè)

　　攻陷指標(biāo)(IoC)主要用于確定系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序是否已受到攻擊或遭受損害的信息，通常包含已知的惡意活動(dòng)跡象，如文件哈希、惡意 IP 地址、惡意域名等。攻陷指標(biāo)監(jiān)測(cè)一直是安全運(yùn)營(yíng)工作的重要環(huán)節(jié)，對(duì)于及時(shí)識(shí)別和響應(yīng)突發(fā)性網(wǎng)絡(luò)安全事件至關(guān)重要。在傳統(tǒng)運(yùn)營(yíng)模式下，安全團(tuán)隊(duì)需要從各種來源手動(dòng)收集有關(guān)各類IoC信息，這需要耗費(fèi)大量的人力和精力，并會(huì)減慢響應(yīng)過程。自動(dòng)化的IoC監(jiān)測(cè)則可以大大提高安全運(yùn)營(yíng)效率。

　　工作流程：

　　•提取IoC：使用文本解析工具或其他自動(dòng)化方法，以自動(dòng)化方式從各類安全設(shè)備的安全日志或警報(bào)中提取出需要的IoC數(shù)據(jù)。

　　•與威脅情報(bào)關(guān)聯(lián)分析：當(dāng)需要IoC被提取后，可以通過VirusTotal、URLScan、AlienVault等威脅情報(bào)工具的API提交接口，自動(dòng)化地進(jìn)行數(shù)據(jù)匯集和分析處理。這類工具可以幫助企業(yè)快速提取出額外的上下文信息，比如IP地址是否與已知威脅相關(guān)聯(lián)，或者域是否被標(biāo)記為可疑活動(dòng)。

　　•匯總分析結(jié)果：將IoC分析結(jié)果自動(dòng)化地匯總成單一的綜合報(bào)告。這一步可以確保所有相關(guān)信息都被統(tǒng)一存放，便于后續(xù)的分析使用，因而安全分析師能夠很容易地評(píng)估威脅的真實(shí)性和優(yōu)先級(jí)。

　　•交付數(shù)據(jù)：經(jīng)過分析處理的IoC數(shù)據(jù)，隨后通過Slack等通訊渠道來交付，或者直接添加到安全管理系統(tǒng)中的相關(guān)事件工單中。這樣確保有需要的人可以立即獲得所有必要的信息。

　　用例2、自動(dòng)化外部攻擊面監(jiān)測(cè)

　　組織的外部攻擊面包括所有可能被攻擊者利用的面向外部的資產(chǎn)，這些資產(chǎn)包括域、IP地址、子域和公開的服務(wù)等。定期監(jiān)測(cè)這些資產(chǎn)對(duì)于識(shí)別不斷變化的資產(chǎn)狀況，并緩解其中潛在漏洞非常重要，而這種監(jiān)測(cè)可以通過自動(dòng)化的掃描、漏洞管理和威脅情報(bào)源來實(shí)現(xiàn)。

　　工作流程：

　　•定義目標(biāo)資產(chǎn)：外部攻擊面監(jiān)測(cè)的前提是要定義出構(gòu)成外部攻擊面的域和IP地址，這些資產(chǎn)應(yīng)該被記錄在一個(gè)自動(dòng)化系統(tǒng)可以識(shí)別參照的文件中。

　　•自動(dòng)偵察：通過使用Shodan之類的互聯(lián)網(wǎng)資產(chǎn)測(cè)繪工具，定期掃描這些資產(chǎn)。先進(jìn)的資產(chǎn)監(jiān)測(cè)工具能夠準(zhǔn)確識(shí)別組織敞開的端口、暴露的服務(wù)及其他漏洞。

　　•匯總和刪除重復(fù)發(fā)現(xiàn)：這些掃描所得的結(jié)果需要自動(dòng)匯總到一份監(jiān)測(cè)報(bào)告中。任何重復(fù)發(fā)現(xiàn)的結(jié)果都被刪除，以確保報(bào)告的簡(jiǎn)潔和可操作性。

　　•自動(dòng)提交監(jiān)測(cè)報(bào)告：外部攻擊面監(jiān)測(cè)報(bào)告可以通過電子郵件、Slack或其他首選的溝通渠道來提交。這份報(bào)告需要重點(diǎn)反映出新的或發(fā)生變動(dòng)的資產(chǎn)、潛在漏洞和任何可能構(gòu)成風(fēng)險(xiǎn)的冗余應(yīng)用程序。

　　用例3、自動(dòng)化漏洞管理

　　應(yīng)用程序中的漏洞一直是最受攻擊者關(guān)注的常見攻擊目標(biāo)。而做好漏洞管理需要包含整個(gè)漏洞防護(hù)的全生命周期，在有效識(shí)別漏洞的基礎(chǔ)上，進(jìn)一步評(píng)估、排序和處置修復(fù)所發(fā)現(xiàn)的各種安全性缺陷。開展全面且持續(xù)的漏洞管理工作，對(duì)于企業(yè)組織改善數(shù)字化應(yīng)用安全狀況，降低潛在風(fēng)險(xiǎn)，并保持?jǐn)?shù)字資產(chǎn)的完整性和可信度至關(guān)重要。在此過程中，企業(yè)組織不僅需要遵循漏洞管理的最佳實(shí)踐，還需要借助自動(dòng)化的漏洞管理工具和流程。

　　工作流程：

　　•定義應(yīng)用資產(chǎn)：首先應(yīng)該繪制出存放或托管組織各類應(yīng)用程序的所有域和IP地址清單。這些資產(chǎn)應(yīng)該被記錄在一個(gè)可被識(shí)別的文件中，方便自動(dòng)化系統(tǒng)參照。

　　•漏洞自動(dòng)掃描：將已定義的應(yīng)用資產(chǎn)自動(dòng)發(fā)送到OWASP ZAP、Burp Suite等漏洞掃描工具。這類工具能夠執(zhí)行全面掃描以識(shí)別漏洞，包括攻擊者經(jīng)常利用的漏洞。

　　•收集結(jié)果并確定漏洞優(yōu)先級(jí)：自動(dòng)收集掃描所得結(jié)果，并根據(jù)檢測(cè)到漏洞的嚴(yán)重程度確定優(yōu)先級(jí)，重點(diǎn)顯示關(guān)鍵/嚴(yán)重漏洞，這有助于將資源分配給最危險(xiǎn)的威脅，實(shí)現(xiàn)安全投資回報(bào)最大化。

　　•自動(dòng)補(bǔ)丁管理與修復(fù)：將漏洞管理生命周期與補(bǔ)丁管理系統(tǒng)集成，實(shí)現(xiàn)漏洞修補(bǔ)過程自動(dòng)化。減少修補(bǔ)任務(wù)的人工干預(yù)，使安全人員能夠處理復(fù)雜問題。盡量縮小識(shí)別和修補(bǔ)漏洞之間的時(shí)間窗口，減少攻擊者得逞的機(jī)會(huì)。

　　•安全分析與主動(dòng)威脅防御：利用漏洞管理生命周期自動(dòng)化收集和分析漏洞數(shù)據(jù)，為主動(dòng)防御獲得更多洞察力，主動(dòng)調(diào)整安全策略并優(yōu)化資源分配，以獲得最大效果。

　　用例4、自動(dòng)化監(jiān)測(cè)被盜憑據(jù)

　　主動(dòng)監(jiān)測(cè)有無被盜憑據(jù)是組織安全運(yùn)營(yíng)策略的一個(gè)重要要求。而自動(dòng)化監(jiān)測(cè)被盜憑據(jù)目前已經(jīng)是一項(xiàng)被各類組織廣泛應(yīng)用的安全運(yùn)營(yíng)實(shí)踐，通過收集來自各種安全泄密事件的數(shù)據(jù)，可以幫助組織快速了解他們的憑據(jù)是否已泄露，從而降低數(shù)據(jù)泄露的損失。

　　工作流程：

　　•匯總用戶電子郵箱、應(yīng)用系統(tǒng)和域：創(chuàng)建一份列表，列出需要監(jiān)測(cè)的用戶電子郵件地址、業(yè)務(wù)系統(tǒng)或域。該列表應(yīng)包括組織中所有相關(guān)的用戶賬戶，尤其是那些擁有特權(quán)訪問權(quán)限的賬戶。

　　•查詢泄露憑據(jù)數(shù)據(jù)庫(kù)：借助匯總后的電子郵件地址、應(yīng)用系統(tǒng)或域列表，自動(dòng)調(diào)用第三方憑據(jù)泄露查詢服務(wù)(如Specops、HIBP等)。這一步包括定期向其發(fā)送查詢請(qǐng)求，以自動(dòng)化檢查是否有任何電子郵件地址出現(xiàn)在已知的數(shù)據(jù)泄密事件中。

　　•匯總和分析結(jié)果：收集來自查詢服務(wù)的響應(yīng)。如果泄密數(shù)據(jù)中發(fā)現(xiàn)任何電子郵件地址或域，則匯總和分析這些泄密事件的詳細(xì)信息(比如泄密源、暴露數(shù)據(jù)的類型和泄密日期)。

　　•發(fā)送警報(bào)和報(bào)告：如果檢測(cè)到泄露的憑據(jù)，自動(dòng)生成警報(bào)。該警報(bào)可以通過電子郵件、Slack發(fā)送，也可以作為高優(yōu)先級(jí)工單集成到組織的事件響應(yīng)系統(tǒng)中。包含有關(guān)泄密的詳細(xì)信息，比如受影響的電子郵件地址、泄密的性質(zhì)和建議采取的操作(比如強(qiáng)制密碼重置)。

　　•立即執(zhí)行安全措施：系統(tǒng)可以根據(jù)泄密的嚴(yán)重程度，自動(dòng)執(zhí)行安全措施。比如說，它可能觸發(fā)針對(duì)受影響賬戶的密碼重置、通知相關(guān)用戶，并加大監(jiān)測(cè)泄密賬戶的力度。

　　•定期計(jì)劃?rùn)z查：根據(jù)提前制定的檢查計(jì)劃定期查詢，比如每周或每月檢查一次。這確保組織始終了解可能涉及其憑據(jù)的任何新泄密事件，并能夠迅即響應(yīng)。

　　參考鏈接：https://www.bleepingcomputer.com/news/security/4-top-security-automation-use-cases-a-detailed-guide/