作为安全部门中的一员,有时确实挺心疼自己的部门领导,怎么说呢,一大把年纪还被总经理指着鼻子说“千万别再出错了”“千万别再扣分了”“千万别再被有关部门点名批评了”,这换谁心里能好受?唉,去年骂完,今年警告,护网行动真是要了老李的老命咯。
顶着总经理劈头盖脸的复盘,我瞥了眼老李,没想到这次他竟一改去年的鳖孙样,摆出了一副老神在在的样子,怎一句“死猪不怕开水烫”了得……嗯?难道老李已经找好下家了?准备在护网前后来个临时跑路?哇,不愧是老李,果然够阴险……不对!他若真的甩手不干了,那这护网的压力岂不是……
短短一瞬间,冷汗从我脊背上缓缓滑落……
“我不想再听到什么人手不够、产品太多等理由,平时你们要预算公司批了吗?要经费公司拒绝过吗?到要护网了,和我说人力跟不上,那你们布置那么多安全产品干嘛?关键时候发挥不出作用,那不就是在浪费钱?”总经理犀利的眼神从每个安全部门人员的脸上划过。
随后总经理又复盘了以下几项内容:
1、确认资产信息和属主信息,QQ、微信、钉钉群不得开启‘免打扰’,任何事只要遇到问题就务必在群里进行及时的沟通。
2、安全部门要联系所有安全厂商,让他们负责好各自的产品,没有厂商支持的产品要由安全团队自己负责。护网期间,要做到每小时验证一次安全产品,确保其可用性。这里所谓的可用不仅仅是ping通、端口通,还包括设备能够登录,CPU、内存、磁盘、会话数等都要在正常指标内。同时,所有巡检过程都要有记录,方便后期追踪。
3、钓鱼邮件是护网的关键,因此要做好钓鱼邮件的分析、识别、通知、邮件拦截、域名拦截、IP拦截,同时不要在封禁IP时影响到公司业务。
最后,总经理还阴阳怪气地补了句:“为了这次护网能够顺利进行,公司专门安排了模拟演习,安全部门可以好好检查下自己的水平,不要到正式考试时给公司丢脸。”
听此复盘,只能说领导们还真是站着说话不腰疼。也不看看都啥时代了,攻防之间对等吗?安全部门发现服务器异常后,难道不需要登录服务器、查看数据、封禁IP、打电话、发邮件吗?一次完整的应急响应,至少涉及10个系统、界面以及人脑CPU上下文的不断切换,“我们可能做到你所要求的‘及时’吗?”殊不知单纯依靠人员之间的沟通和信息传递,根本不可能快速、准确地获取应急响应过程中的各类信息?
还有人肉巡检……不是,生怕别人不知道你总经理是技术出身呗?还“所有巡检都要有记录”,安全人员都哪吒啊?部署在这里的软硬件系统有数十个,就算我们有三头六臂也不可能面面俱到啊……
我无助地看向老李,希望他能为我们出出头,反驳一二。这不看还好,一看差点让我失了智,老李竟在那儿偷偷玩手机!光天化日,朗朗乾坤,你老李不顾护网前夕的准备工作,总要想想火冒三丈的总经理会对我们这些安全人员做些什么吧?就这么弃我们于不顾?你老李倒是找好了下家,可我们这些日日夜夜为你鞍前马后、并肩作战的队友呢?
会议结束后,我立马来到了老李的办公室,摆出了一副生无可恋的样子。老李忍不住笑出了声:“怎么,老总的话给你压力这么大吗?护网很难吗?”呵,老李可真是老年痴呆了啊……“去年发布护网成绩时,您老在马尔代夫喂鲨鱼吗?今年要再这态势,我们就都得被总经理拿去喂鲨鱼。”
老李波澜不惊,只小声问道:“那你说说,护网对我们来说怎么就难啦。”都到这份上了,还和我故作深沉……“怎么就难了?领导问这话不摸着自己的良心吗?那么多的系统需要登录,那么多的资产需要调查,从响应到溯源,从巡检到报告,啥事不难?我们人手够吗?面对智能化的攻击,我们能做到及时响应吗?安全人员真就要做到7x24小时待命呗?折腾老半天,最后成绩还不理想,还要被总经理说:‘要你们安全部门有啥用?’我们是有多卑微,才要受这苦?”说罢,我顺势擦了擦眼角,只可惜实在哽咽不来。
“行啦行啦,你还委屈上了。放心吧,这次护网绝不可能出现以上这些问题。”看到老李满脸的胸有成竹,我不禁疑惑:“为啥呀?我们这也没做啥改变呀?”
“哈哈,怎么没有。”老李长笑一声说道:“今年对我们来说,最大的改变就是装上了雾帜智能的SOAR产品HoneyGuide。”
SOAR?我将信将疑地看向老李。
“对,就是SOAR。所谓SOAR,其核心是将各类安全应急响应过程中的动作进行组合,按照剧本化的方式自动开展应急响应工作。借助编排好的安全应急响应剧本,当安全事件发生时,系统将通过自动化的手段进行响应。”老李像是早就准备好了台词,滔滔不绝地介绍着:“换言之,SOAR可以全面加速事件调查、数据分析和设备操作的过程,减少这些环节中不必要的人员参与,大幅提升响应速度,提高响应水平。当然,面对啥钓鱼邮件、巡检、封禁等,那都是手到擒来。”
可能是因为事实胜于雄辩,也可能是因为实在不愿再看到我这将信将疑的神情,老李说了句“我们在模拟演习时见分晓”便将我赶出了办公室……呵,这老李,我倒要看看雾帜SOAR有多神奇!
不久,模拟演习便开始了。虽然这只是模拟演习,但由于去年实战时所带来的阴影实在太大,所以这几天我总是提心吊胆的。同时我也多了一分好奇和希冀,想知道老李是否真的会背叛组织。
或许是应了我这前后矛盾的期待,模拟演习开始后没几天,系统便发出了告警……“SIEM、SOC、日志都登录了吗?”“端口开放、资产漏洞、变更记录都调查了吗?”“确认是哪里来的IP了吗?”“有谁知道分公司XXX是哪个业务的员工?”一如既往,安全部门又开始了鸡飞狗跳……至于我,似乎已经忘记了和老李之间的谈话,只忙碌在防火墙和WAF策略之中。
也就在这纷纷扰扰之际,忽然有人说道:“大家快来看,系统自己在响应了!”所有人听到后顿时放下了手上的工作,并第一时间都想去一探究竟。直到此时,老李才优哉游哉地出现在了我们面前。
“若还像去年那样临时响应,攻击队不早就‘打完跑路’啦?”老李双手背后,似世外高人一展风度翩翩:“早在几周前我就已经设置好了剧本,小杨没和你们说吗?”部门其他员工顺势向我看来,我这才想起老李口中的SOAR。
老李继续解释道:“让系统自动响应的是雾帜智能SOAR产品HoneyGuide,其也是我们这次护网行动的关键所在。大家趁演习期间,都好好熟悉下吧。”
经老李介绍,原来HoneyGuide能通过内置一键找人、找资产等剧本,帮助客户快速完成信息增强和上下文丰富。在对接客户的LDAP、CMDB、HR、准入、审计、SSO等系统之后,每当遇到安全响应过程,都可以通过剧本快速开展用户、IP、情报等信息的查询和收集。类似不要错封IP等事项,这在HoneyGuide面前就是小儿科。由于此过程是通过预先编排好的安全剧本,因此速度更快,准确度更高,而且无需依赖在线支持。
同时,更让人惊喜的地方在于,此剧本编排不止局限于找人、找资源,对于其他方面的响应,安全人员也可以提前编排剧本。就像这次模拟演习时的事件告警,老李早就图形化地将事件响应过程进行了剧本化创作,到事件发生后,系统便能依照提前编排的剧本,自动调用各类IT系统、安全产品或SaaS服务,开展自动化的应急响应工作。从结果来看,经过编排好的SOAR剧本能够在1分钟内,将安全人员需要的信息以几乎零等待的方式展示在面前,而且没有频繁的人工沟通、信息传递失真和结果反馈延迟等问题。
看来,老李这次是真的找到“救命稻草”了!
HoneyGuide在应急响应时真的做到了将各类安全产品相互协同、联动,并大大节省了沟通成本,在HoneyGuide的在线协同作战室,安全人员可以直接通过信息增强剧本查询相关信息,无需多余的交流……那么对于巡检呢?HoneyGuide是否一样能提前设置好剧本?
答案是肯定的。
对于HoneyGuide来说,只要把公司的设备信息配置上去,机器人就会通过剧本开展7x24小时自动化巡检。通过编排好的安全剧本,HoneyGuide能定时登录各个目标设备,确认系统状态是否正常,在发现异常时会自动通知安全人员,必要时某些设备还可以执行影响范围可控的自恢复操作。
从对比上来看,原本需要人肉7x24小时每小时完成一次的巡检工作,在交给HoneyGuide后,其可每小时自动完成一次巡检,一次巡检时间不超过5分钟,其效率大幅提升,可谓全面解放了安全人员的双手!
天不生我HoneyGuide,安全万古如长夜。怪不得老李会发出灵魂拷问:“护网到底有啥难的?!”
毫不夸张地说,模拟演习过程中,连我们最担心的钓鱼攻击也变得微不足道了。有了HoneyGuide之后,我们针对钓鱼邮件这种攻击场景专门做了应急处置的安全剧本。实现过程里,HoneyGuide先提前完成了和各个系统安全能力的对接,并能通过API、SSH、HTTP等方式实现,据雾帜介绍,HoneyGuide目前可支持170+国内外主流安全产品能力的调度,对于尚不支持的安全产品,雾帜、合作伙伴或者客户工程师可以基于HoneyGuide开放的SDK(支持Java、Python两种编程语言)快速开发相应的APP。
之后,当我们针对某个钓鱼邮件进行响应时,安全人员只需要通过HoneyGuide产品界面,把钓鱼邮件原始eml文件作为参数传给剧本,就可以开展自动化应急响应。响应过程完全不依赖人员的经验、情绪和在岗状态,实现的是全自动化的能力。当然,必要的时候,安全人员也可以参与其中,实现人机协同。
想我堂堂安全部门,竟也有在护网前夕悠闲自在的时候!HoneyGuide真可谓是上帝还予安全部门的公平。
演习将要结束时,老李可能实在看不惯我这到处炫耀的闲样,竟问起演习报告写得如何了……哈,真是给我整笑了,像HoneyGuide 可一键输出相应报告这种事,对于我摸鱼小王子来说,还能不自己琢磨出来?……于是我回道:“领导,真不是我偷懒,主要是雾帜智能还为客户配备了现场专家和工程师团队,可帮助我们快速开展策略调整、产品适配,那些个报告他们都已经教会我在哪里一键输出了……”
“哼!不是说产品好,你就能放松警惕……这样,你再去HoneyGuide人机协同作战室多做几次安全剧本沙盘演练吧,多熟悉熟悉产品技巧总没错。”
我真是服了这老登……
下班了。哈,作为安全人员竟能在护网前夕轻松下班,让人羡慕不?更让人嫉妒恨的还在后头呢,有了HoneyGuide的帮忙,连夜班值守人员都去掉了大半,哥们再也不用“拿健康换钱财”咯!
咦?那不是小石吗?
小区附近,某集团安全运维人员小石迎面走来,看他这春风得意的样子,难不成……他们公司也配备了HoneyGuide?
“你咋这么悠闲?”我们异口同声问向了彼此,作为曾经的同期,此刻我们又奋斗在了各自公司的最前线。“小石同志,难道你们公司也安装了……?”这一刻,我非常肯定小石和我一样,都是找到组织的幸运儿。然而,小石的回答还是让我既失望又庆幸的:“嘿嘿,这次护网我们公司找了安服相助。只能说公司终于愿意为我们安全人员着想了,哈哈。你们呢?难道你们也找了安服?”
“没有。这次我们公司安装了雾帜智能的SOAR产品HoneyGuide。你知道SOAR产品吗?SOAR是自适应网络安全框架中一个重要的实现方式,它……”
“啊?就这么点事还需要新添工具啊?多找点人不就得了……”从小石的脸上,我看到了满脸的不屑。
“可你听说了吗?这次护网需要两个月的时间……”
不等小石反应过来,我已从他身边离去。于是,身后“等等,产品叫啥名?雾帜哪个?”的呼喊声传遍了整个小区……
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...