工控安全自動化編排與響應方法及系統與流程
1.本發明屬于工控安全技術領域,具體涉及到一種工控安全自動化編排與響應方法及系統。
背景技術:
2.隨著企業信息化的不斷發展,公司信息化資產數量日趨增多、系統的關聯性和復雜度不 斷增強,然而當前信息安全形勢日益嚴峻,信息安全防護工作面臨前所未有的困難和挑戰。 面臨這些挑戰,信息安全建設也是在不斷發展及演化中。
3.在目前體系化的建設轉型過程中,臨著以下挑戰:缺乏專業的安全攻防、分析、處置人 員,且員工在安全分析研判上的經驗難固化;在安全響應、處置時間過長,效率低;缺少規 范化的響應、處置流程,安全運營及處置效率缺乏可量化的指標。亟需建立一套平臺實現安 全運營閉環處置,事前可監測預警、事中監控分析、自動化響應處置,事后溯源。
技術實現要素:
4.本發明提供一種工控安全自動化編排與響應方法及系統,以解決上述技術問題。
5.基于上述目的,本發明實施例提供了一種工控安全自動化編排與響應方法,包括:接收 原始數據,并對所述原始數據進行行為分析和攻擊識別生成安全事件;獲取案例與攻擊識別 規則關聯關系表,并基于所述關聯關系表打上與所述安全事件關聯的案例的案例標簽;對打 上所述案例標簽的所述安全事件進行解析,選擇與所述案例標簽對應的劇本并生成控制指令; 響應所述控制指令,觸發設備執行處置動作,并通過自動化運維大屏對處置執行后得到的指 標進行全局展示。
6.可選的,所述方法還包括:對案例進行管理,包括但不限于創建、刪除、編輯、啟停、 導入、導出。
7.可選的,所述方法還包括:獲取所述安全事件的執行結果,并將先后發生的案例標簽相 同的同類安全事件匯聚至同一案例下;對同類安全事件的執行結果進行安全性能度量,并根 據度量結果調整執行策略。
8.可選的,所述獲取案例與攻擊識別規則關聯關系表,并基于所述關聯關系表打上與所述 安全事件關聯的案例的案例標簽,包括:獲取案例與攻擊識別規則關聯關系表;對所述安全 事件進行行為分析、攻擊識別以及關聯分析,并查所述關聯關系表,與內置安全規則進行 匹配;對所述安全事件打上與匹配的安全規則對應的案例的案例標簽。
9.可選的,所述對打上所述案例標簽的所述安全事件進行解析,選擇與所述案例標簽對應 的劇本并生成控制指令,包括:對所述安全事件根據所述案例標簽進行情報、流量以及主機 取證并生成劇本;根據所述劇本生成所述控制指令。
10.可選的,所述響應所述控制指令,觸發設備執行處置動作,包括:響應所述控制指令, 調用響應設備執行處置動作,完成封禁工作,所述封禁工作包括威脅攔截、可疑訪問源封殺、 被攻陷主機隔離、威脅消除或未攻陷主機加固的至少其中之一。
11.基于同一發明構思,本發明實施例還提出了一種工控安全自動化編排與響應系統,包括: 攻擊識別模塊,用于接收原始數據,并對所述原始數據進行行為分析和攻擊識別生成安全事 件;預判引擎模塊,用于獲取案例與攻擊識別規則關聯關系表,并基于所述關聯關系表打上 與所述安全事件關聯的案例的案例標簽;自動化編排模塊,用于對打上所述案例標簽的所述 安全事件進行解析,選擇與所述案例標簽對應的劇本并生成控制指令;一鍵處置模塊,用于 響應所述控制指令,觸發設備執行處置動作,并通過自動化運維大屏對處置執行后得到的指 標進行全局展示。
12.可選的,所述工控安全自動化編排與響應系統還包括:與所述自動化編排模塊以及所述 一鍵處置模塊連接的案例管理模塊,用于對案例進行管理,包括但不限于創建、刪除、編輯、 啟停、導入、導出以及處置結果統計。
13.基于同一發明構思,本發明實施例還提出了一種電子設備,包括存儲器、處理器及存儲 在存儲器上并可在處理器上運行的計算機程序,所述處理器執行所述程序時實現前述的方法。
14.基于同一發明構思,本發明實施例還提出了一種計算機存儲介質,存儲介質中存儲有至 少一可執行指令,所述可執行指令使處理器執行前述的方法。
15.本發明的有益效果是:從上面所述可以看出,本發明實施例提供的一種工控安全自動化 編排與響應方法及系統,方法包括:接收原始數據,并對所述原始數據進行行為分析和攻擊 識別生成安全事件;獲取案例與攻擊識別規則關聯關系表,并基于所述關聯關系表打上與所 述安全事件關聯的案例的案例標簽;對打上所述案例標簽的所述安全事件進行解析,選擇與 所述案例標簽對應的劇本并生成控制指令;響應所述控制指令,觸發設備執行處置動作,并 通過自動化運維大屏對處置執行后得到的指標進行全局展示,能夠通過劇本完成自動化閉環 處置,既可以縮短響應處置時間,又可以將工程師從日常運維中釋放出來,節約企業人員成 本。
附圖說明
16.為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術 描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明實施 例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲 得其他的附圖。
17.圖1為本發明實施例中的工控安全自動化編排與響應方法的流程示意圖;
18.圖2為本發明實施例中的工控安全自動化編排與響應系統的結構示意圖;
19.圖3為本發明實施例中電子設備示意圖。
具體實施方式
20.為使本公開的目的、技術方案和優點更加清楚明白,以下結合具體實施例,并參照附圖, 對本公開進一步詳細說明。
21.需要說明的是,除非另外定義,本發明實施例使用的技術術語或者科學術語應當為本公 開所屬領域內具有一般技能的人士所理解的通常意義。本發明實施例中使用的“第一”、“第二
”?
以及類似的詞語并不表示任何順序、數量或者重要性,而只是用來區分不同的
組成部分。“包 括”或者“包含”等類似的詞語意指出現該詞前面的元件或者物件涵蓋出現在該詞后面列舉的 元件或者物件及其等同,而不排除其他元件或者物件。“連接”或者“相連”等類似的詞語并非 限定于物理的或者機械的連接,而是可以包括電性的連接,不管是直接的還是間接的。“上”、
?“
下”、“左”、“右”等僅用于表示相對位置關系,當被描述對象的絕對位置改變后,則該相對 位置關系也可能相應地改變。
22.本發明實施例提供了一種工控安全自動化編排與響應方法。本發明實施例的工控安全自 動化編排與響應方法應用于服務器。如附圖1所示,工控安全自動化編排與響應方法包括:
23.步驟s11:接收原始數據,并對所述原始數據進行行為分析和攻擊識別生成安全事件。
24.在本發明實施例中,獲取各設備的告警日志或事件作為原始數據,設備包括但不限于防 火墻nf、ddos防御ads、主機安全ues、統一威脅探針uts、web應用防火墻waf以及 第三方廠商設備等。然后對獲取的原始數據進行行為分析和攻擊識別,生成安全事件。
25.步驟s12:獲取案例與攻擊識別規則關聯關系表,并基于所述關聯關系表打上與所述安 全事件關聯的案例的案例標簽。
26.在本發明實施例中,可選的,獲取案例與攻擊識別規則關聯關系表;對所述安全事件進 行行為分析、攻擊識別以及關聯分析,并查所述關聯關系表,與內置安全規則進行匹配; 對所述安全事件打上與匹配的安全規則對應的案例的案例標簽。案例標簽用于標示安全事件 所屬的案例種類,案例種類包括但不限于入侵、拒絕服務、、釣魚、盜鏈、信息泄露等。
27.本發明實施例還對案例進行管理,包括但不限于創建、刪除、編輯、啟停、導入、導出。 獲取所述安全事件的執行結果,并將先后發生的案例標簽相同的同類安全事件匯聚至同一案 例下;對同類安全事件的執行結果進行安全性能度量,并根據度量結果調整執行策略。在本 發明實施例中,案例貫穿整個安全事件生命周期管理,幫助用戶對一組相關的事件進行流程 化、持續化的調查分析與響應處置跟蹤記錄。案例管理包括觸發條件及響應處置動作,通過 案例的流程處理功能,可以為不同性質的案例指派不同的劇本(playbook),并監督執行。 只要開啟案例,匹配到該案例的事件即可完成自動化響應處置,進而降低平均修復時間(meantime to repair,mttr)。
28.本發明實施例可以通過事件及日志作為觸發條件,對于相同類型的運維事件,采用案例 進行管理,針對相同案例,將先后發生的同類型事件匯聚在同一案例下,案例種類包括并不 局限于入侵、拒絕服務、、釣魚、盜鏈、信息泄露等,這樣有利于對于相同的事件類型 以標簽化方式調用相同playbooks進行系列化的響應和執行,同時對相同事件類型的響應執 行進行安全性能度量,以判定執行效率、執行的準確度,以便對執行策略其進行統一調整。
29.每個安全團隊都有自己的安全工具集、能力、通用用例和遵從性需求。跨越所有這些元 素的幾個常見線程之一是響應安全事件時所遵循的步驟。將安全運維事件響應生命周期定義 為一個連續的、循環的過程,包括安全運維事件攝入和豐富、事件管理、更深入的調查、響 應行動的執行、性能度量,以及采用學到的經驗教訓以提高未來的操作效率。在事件響應過 程中,安全團隊快速地在控制臺之間轉換以收集額外的上下文并包含事件時,因
此擁有中心 案例管理功能并避免碎片化的文檔是至關重要的。案例管理幫助用戶對一組相關的事件進行 流程化、持續化的調查分析與響應處置。通過案例的流程處理功能,可以為不同性質的案例 指派不同的案例處理流程(指不同的playbook處理劇本),并監督執行;借助案例的事件 (artifacts)管理功能,可以不斷積累該案例相關的痕跡物證(ioc)和攻擊者的技術、戰術、 過程等指標信息(ttp);而通過編排調查與響應功能,可以對案例中的任何事件執行劇本 或者動作,拓線追蹤,深挖疑點、豐富案件信息。
30.步驟s13:對打上所述案例標簽的所述安全事件進行解析,選擇與所述案例標簽對應的 劇本并生成控制指令。
31.在本發明實施例中,對所述安全事件根據所述案例標簽進行情報、流量以及主機取證等 網絡層面的取證,并生成劇本;根據所述劇本生成所述控制指令。在進行網絡層面取證的同 時,根據從步驟s12得到的案例事件與案例關系信息,將需要自動化處置的事件推送至自動 化編排與響應(soar)引擎,通過自動化編排與響應(soar)引擎將事件解析后,并選擇 相應的劇本,生成控制指令(action),以便后續實現設備聯動處置閉環。
32.本發明實施例還對劇本進行管理。劇本(playbook)記錄了安全工程師的工作流程。劇 本偏響應處置方面,可以通過可視化編排方式進行創建及保存,并為案例進行引用,常見的 劇本包括研判取證、全局封堵、主機隔離、工單、郵件預警等。
33.playbook使安全運維工作自動化,與人工相比,具有反映敏捷、判斷精準和持續性高等 優勢。自動化或人工編排,都是通過劇本來進行表達的。通過劇本之間的串聯、并聯關系, 構建業務場景所需的工作流。劇本在滿足條件情況下被觸發,同時調用響應設備執行響應動 作。playbook基于python語言開發,后續可以進行更新。playbook用較少的代碼就可以實現 復雜的編排場景。微場景化的通用playbook腳本包括以下幾類:全局通用playbook腳本有 block-ip、block-url、ip-isolation等,被感染主機通用威脅清除playbook有kill-process、 delete-file、kill-task、disable-service、clear-register等,受影響主機的通用加固playbook有 disable-service、add-nf-rule等。劇本(playbook)可通過可視化編排自動生成,劇本相當于 案例的處置響應部分,相對于案例少了觸發條件部分。
34.對于自動化編排響應的事件,可通過情報及日志取證進行進一步威脅分析研判,取證往 往與邏輯判定功能進行搭配進行使用,以便實現編排的多樣性。在取證環節,可利用一系列 調查取證技術手段、主動探索分析手段等如攻擊過程溯源、流量取證、行為軌跡分析、安全 事件軌跡溯源、文件軌跡溯源、att amp;ck攻擊圖譜,通過回顧分析事件完整過程,利用持續 監控所獲取的數據,構建基于生命周期的行為軌跡鏈或者事件軌跡以及攻擊過程中采用的攻 擊手段、攻擊來源、攻擊動機、攻擊受損區域,使得威脅或者事件發生根本原因和全部缺口 進行完整的分析閉環。
35.情報取證可選擇情報類型(含ip、url、樣本、域名、c2、url、apt amp;comment crew)、 情報對象具體值(ip,url,domain,md5)、執行結果(是否命中)進行匹配。日志取證 可基于原始日志、響應內容、請求內容、源地址、源端口、目的地址、目的端口、載荷、攻 擊者、受害者、post請求數據做匹配。
36.步驟s14:響應所述控制指令,觸發設備執行處置動作,并通過自動化運維大屏對處置 執行后得到的指標進行全局展示。
37.本發明實施例響應所述控制指令,調用響應設備執行處置動作,完成封禁工作,所述封 禁工作包括威脅攔截、可疑訪問源封殺、被攻陷主機隔離、威脅消除或未攻陷主機加固的至 少其中之一。具體通過插件定義并管理響應設備,第三方設備只需要通過插件開發即可接入, 不同插件的定義使響應設備充分解耦,工程人員可以基于標準插件化模板編排不同設備廠商 不同數據類型的數據接入模型,快速集成并實現插件的在線激活及接入,實現數據源的開箱 即用的能力;同時工程人員可以基于標準插件化模板編排不同設備廠商不同管控設備的管控 模型,快速集成并完成管控設備插件的在線激活及接入,實現管控設備的開箱即用能力。對 接入的響應設備可實現靈活的設備管理功能,如:新增、編輯、啟用、禁用。借助響應設備 可完成威脅攔截,可疑訪問源封殺,被攻陷主機的隔離、威脅消除及未攻陷主機的加固等封 禁工作。
38.針對修補漏洞、終端清理病毒文件可通過工單方式推送至責任人,責任人收到工單后, 再進行相關處置。郵件預警包括重要事件生成通知和自動化響應處置結果通知。
39.對于匹配到案例自動化執行的視角,事件響應詳情可從端到端展示事件執行處置狀態(執 行成功、正在執行、執行失敗),為運維人員從全局事件呈現事件所處運維階段及其執行狀 態。自動化運維大屏可從全局視角呈現自動化響應處置概況,如自動響應運營效率、案例事 件統計信息、案例事件處置趨勢、劇本執行信息等,將運維指標通過可度量可量化方式進行 展示。自動響應運營效率包括自動化響應事件總數量、自動響應平均時長、自動響應平均審 核時長、人工響應平均時長、效率提升百分比等。案例事件統計信息包括事件自動響應狀態, 已響應結果成功統計、top案例事件統計、不同嚴重級別的自動響應情況概覽等。案例事件 處置趨勢包括不同時間段案例事件處置趨勢、最近完成的5個事件處置情況。劇本執行情況 包括最活躍劇本執行統計、執行top5執行動作。
40.綜上所述,本發明實施例的工控安全自動化編排與響應方法通過接收原始數據,并對所 述原始數據進行行為分析和攻擊識別生成安全事件;獲取案例與攻擊識別規則關聯關系表, 并基于所述關聯關系表打上與所述安全事件關聯的案例的案例標簽;對打上所述案例標簽的 所述安全事件進行解析,選擇與所述案例標簽對應的劇本并生成控制指令;響應所述控制指 令,觸發設備執行處置動作,并通過自動化運維大屏對處置執行后得到的指標進行全局展示, 能夠通過劇本完成自動化閉環處置,既可以縮短響應處置時間,又可以將工程師從日常運維 中釋放出來,節約企業人員成本。
41.上述對本發明特定實施例進行了描述。在一些情況下,在本發明實施例中記載的動作或 步驟可以按照不同于實施例中的順序來執行并且仍然可以實現期望的結果。另外,在附圖中 描繪的過程不一定要求示出的特定順序或者連續順序才能實現期望的結果。在某些實施方式 中,多任務處理和并行處理也是可以的或者可能是有利的。
42.基于同一個構思,本發明實施例還提供了一種工控安全自動化編排與響應系統。應用于 服務器。附圖2所示,工控安全自動化編排與響應系統包括:攻擊識別模塊、預判引擎模塊、 自動化編排模塊以及一鍵處置模塊。其中,
43.攻擊識別模塊,用于接收原始數據,并對所述原始數據進行行為分析和攻擊識別生成安 全事件;
44.預判引擎模塊,用于獲取案例與攻擊識別規則關聯關系表,并基于所述關聯關系表打上 與所述安全事件關聯的案例的案例標簽;
45.自動化編排模塊,用于對打上所述案例標簽的所述安全事件進行解析,選擇與所述案例 標簽對應的劇本并生成控制指令;
46.一鍵處置模塊,用于響應所述控制指令,觸發設備執行處置動作,并通過自動化運維大 屏對處置執行后得到的指標進行全局展示。
47.工控安全自動化編排與響應系統還包括:與所述自動化編排模塊以及所述一鍵處置模塊 連接的案例管理模塊,用于對案例進行管理,包括但不限于創建、刪除、編輯、啟停、導入、 導出以及處置結果統計。
48.繼續參見圖3,工控安全自動化編排與響應系統包括:數據接入層、管理研判處置層以 及展示層;管理研判處置層包括攻擊識別模塊、預判引擎模塊、研判引擎模塊、自動化編排 模塊以及一鍵處置模塊;自動化編排模塊為在管理研判處置層的自動化編排與響應引擎。數 據接入層用于接入和解析原始數據。攻擊識別模塊用于對原始數據進行行為分析和攻擊識別 生成安全事件,預判引擎模塊用于獲取案例與攻擊識別規則關聯關系表,并基于關聯關系表 打上與安全事件關聯的案例的案例標簽;研判引擎模塊用于對打上案例標簽的安全事件進行 網絡層面的取證,并將安全事件傳輸至自動化編排與響應引擎,自動化編排與響應引擎對安 全事件進行解析,選擇與案例標簽對應的劇本并生成控制指令,一鍵處置模塊響應控制指令, 觸發設備執行處置動作。展示層中設置有自動化運維大屏,通過自動化運維大屏對處置執行 后得到的指標進行全局展示。
49.工控安全自動化編排與響應系統還包括:與研判引擎模塊連接的數據接收模塊、與數據 接收模塊連接的劇本引擎模塊以及與劇本引擎模塊連接的處置引擎模塊,數據接收模塊用于 接收研判引擎模塊傳輸的安全事件,劇本引擎模塊用于對安全事件進行解析,根據案例標簽 以及劇本之間的串聯、并聯關系,構建業務場景所需的工作流,觸發劇本并生成控制指令; 處置引擎模塊接收并響應劇本引擎模塊發送的控制指令,調用響應設備執行響應動作。
50.為了描述的方便,描述以上系統時以功能分為各種模塊分別描述。當然,在實施本發明 實施例時可以把各模塊的功能在同一個或多個軟件和/或硬件中實現。
51.上述實施例的系統應用于前述實施例中相應的方法,并且具有相應的方法實施例的有益 效果,在此不再贅述。
52.基于同一發明構思,本發明實施例還提供了一種電子設備,該電子設備,包括存儲器、 處理器及存儲在存儲器上并可在處理器上運行的計算機程序,所述處理器執行所述程序時實 現如上任意一實施例所述的方法。
53.本發明實施例提供了一種非易失性計算機存儲介質,所述計算機存儲介質存儲有至少一 可執行指令,該計算機可執行指令可執行如上任意一實施例中所述的方法。
54.圖3示出了本實施例所提供的一種更為具體的電子設備硬件結構示意圖,該設備可以包 括:處理器301、存儲器302、輸入/輸出接口303、通信接口304和總線305。其中處理器301、 存儲器302、輸入/輸出接口303和通信接口304通過總線305實現彼此之間在設備內部的通 信連接。
55.處理器301可以采用通用的cpu(central processing unit,中央處理器)、微處理器、應用 專用集成電路(application specific integrated circuit,asic)、或者一個或多個集成電路等方式 實現,用于執行相關程序,以實現本發明方法實施例所提供的技術方
案。
56.存儲器302可以采用rom(read only memory,只讀存儲器)、ram(randomaccessmemory,隨機存取存儲器)、靜態存儲設備,動態存儲設備等形式實現。存儲器302 可以存儲操作系統和其他應用程序,在通過軟件或者固件來實現本發明方法實施例所提供的 技術方案時,相關的程序代碼保存在存儲器302中,并由處理器301來調用執行。
57.輸入/輸出接口303用于連接輸入/輸出模塊,以實現信息輸入及輸出。輸入輸出/模塊可 以作為組件配置在設備中(圖中未示出),也可以外接于設備以提供相應功能。其中輸入設備 可以包括鍵盤、鼠標、觸摸屏、麥克風、各類傳感器等,輸出設備可以包括顯示器、揚聲器、 振動器、指示燈等。
58.通信接口304用于連接通信模塊(圖中未示出),以實現本設備與其他設備的通信交互。 其中通信模塊可以通過有線方式(例如usb、網線等)實現通信,也可以通過無線方式(例如移 動網絡、wifi、藍牙等)實現通信。
59.總線305包括一通路,在設備的各個組件(例如處理器301、存儲器302、輸入/輸出接口 303和通信接口304)之間傳輸信息。
60.需要說明的是,盡管上述設備僅示出了處理器301、存儲器302、輸入/輸出接口303、通 信接口304以及總線305,但是在具體實施過程中,該設備還可以包括實現正常運行所必需 的其他組件。此外,本領域的技術人員可以理解的是,上述設備中也可以僅包含實現本發明 實施例方案所必需的組件,而不必包含圖中所示的全部組件。
61.所屬領域的普通技術人員應當理解:以上任何實施例的討論僅為示例性的,并非旨在暗 示本技術的范圍被限于這些例子;在本技術的思路下,以上實施例或者不同實施例中的技術 特征之間也可以進行組合,步驟可以以任意順序實現,并存在如上所述的本技術的不同方面 的許多其它變化,為了簡明它們沒有在細節中提供。
62.本技術旨在涵蓋落入本發明實施例的寬泛范圍之內的所有這樣的替換、修改和變型。因 此,凡在本發明實施例的精神和原則之內,所做的任何省略、修改、等同替換、改進等,均 應包含在本技術的保護范圍之內。
