运 营 商 专 栏

            基于剧本的自动化响应系统的设计研究


                1
                     1
            冀文 ，张春 ，罗彭彭     2
            1.中移动信息技术有限公司
            2.中移(杭州)信息技术有限公司

























                自从云计算、物联网等技术大范围应用后，企业的数字资                            以做出响应决策的决策者为观察者，无论该决策者是系统
            产越来越多，同时也导致了企业的资产暴露面也越来越大，导                          或人，决策本质上是获取信息的过程。一个系统之所以不能做
            致了企业遭受越来越多的网络攻击。每个组织每天新产生的被                          出准确的响应，是因为没有获取足够的信息量，以支撑该系统
            攻击事件数都远超过了现有人员的处理能力，同时如果让安全                          做出准确的决策。
            管理人员每天超负荷地处理事件，会让管理人员产生懈怠的情                              当系统或人收到一个随机事件，具体选择哪个响应结果是
            绪，并可能会忽视真正需要处理的事件。因此，建设自动化响                          不确定的，这种不确定性就是信息熵。而能够消除该系统或人
            应系统实现安全事件的自动化响应变得十分必要。                               对这次响应不确定性的事物就是信息。熵和信息的数量对等，
                近年来，安全编排自动化和响应（Security  Orchestration           但是意义相反，获取信息意味着消除熵。
            Automation and Response，SOAR）平台，广受安全分析、安全                假设存在这么一个随机系统，可以等概率输出4个结果中的
            运营和事件响应等安全团队的青睐。SOAR平台也因其可编排自                        一个，分别是A、B、C、D，且当输入是事件e时，只有D是正确
            动化的属性，成为很多企业实现自动化响应系统的首选平台。                          的结果。根据均匀分布事件的信息熵公式log_2m可知，这时系
                在实际工程中发现，大多数现有方案主要是一些私有化定                        统的熵是2bits。当系统接收到事件e时，至少还要再获取2bits
            制的平台，或是基于SOAR平台堆叠大量杂乱的剧本实现。这些                        信息，才能让系统输出正确的结果。
            方案大多缺乏适当的抽象和合理的规划，这样的设计缺乏扩展                              如果系统获取了额外的信息，可以将输出D的机率提高到
            性和可维护性。                                              50%，这时系统选择输出结果A、B、C、D的概率分别为1/6、
                本文通过分析自动化响应的本质和剖析SOAR系统特征，给                      1/6、1/6、1/2；计算可知系统的熵降低到了1.79bits，因为额
            出了一个以剧本为核心的可扩展、易维护的自动化响应系统设                          外的信息额外提供了0.21bits的信息量。
            计方案，并提供了方案实例和效果评估。                                       如果系统在收到事件e时，始终能获得额外的2bits信息，
                                                                 那么这时系统不再是随机系统，而是一个确定性系统，始终能
                一．自动化响应的本质                                       做出正确的决策。简言之，获得足够的信息才能做出确定的决
                当前，在安全运营中，安全事件的人工响应过程一般是从                        策。
            上游系统（态势感知、SIEM等事件汇聚的系统或其他攻击检测                            人之所以能做出比系统更加准确的响应，正是因为人会在
            系统）获取事件，分析和评估事件，并做出必要的响应。为什                          响应过程中，会主动从一个或多个系统获取有效信息输入到响
            么不能直接在上游系统做出响应，而需要人工参与和响应？                           应的决策过程。自动化响应本质上，则是代替人工从一个或多
                这其中主要的原因是攻击者是随机的，攻击手段是不确定                        个系统获取足量信息，代替人工做出决策和响应的过程。
            的，攻击的对象也可能是随机的，导致攻击所产生的事件也存                              因此，可以把一个完整的自动化响应流程定义为一个包含
            在着一定的随机性。同时，系统需要经过一定的分析和过滤，                          获取信息、决策、执行响应三个子过程的过程合集。
            才能做出正确响应，且检测系统对随机攻击的检测准确率并不
            是100%，所产生的误报也会干扰系统做出正确的响应决策。                             二．自动化响应系统的需求


            14                                        网络电信 二零二二年九，十月