记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

国产SOAR产品HoneyGuide试用体验

2020-05-05 19:18

国产SOAR产品HoneyGuide试用体验

前言


2018年开始我就在持续关注SOAR产品。当时国外的Phantom、Demisto等产品已经日趋成熟,我曾在多个安全会上见过他们的宣传,也曾经申请试用过他们产品,但是上手后总感觉还缺了那么点意思。


去年国内多家厂商都已宣布进军SOAR领域,这倒符合国外产品“进入”国内的速度:)但是直到今年年初我还是一直在听厂商们宣传,却从未见到这些产品的真容,难道又是PPT玩法?四月份的时候,有朋友给我转过一个链接:上海雾帜智能科技有限公司的SOAR产品HoneyGuide提供了在线体验版本,可以申请试用。我当即报名申请体验。


按照官方的要求,关注公众号,提交测试申请需要的联系信息后,很快客服(准确地说是他们CTO……)就联系到了我。我被安排在第五批试用清单里,据说要排到五一之后……也是醉了。


好吧,好饭不怕晚,趁这个时间我刚好把之前整理的SOAR相关关资料重新复习了一遍,到时候看看雾帜智能的HoneyGuide是不是在吹牛。

一些背景信息


Security Orchestration, Automation and Response(SOAR)安全编排和自动化响应,Gartner 2017年提出的新概念。


“根据Gartner2019年最新定义,SOAR是指能使企业组织从SIEM等监控系统中收集报警信息,或通过与其它技术的集成和自动化协调,提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。这种融合到2019年仍然持续进行中。例如,在Splunk收购Phantom之后,SOAR可能会嵌入到它的SIEM中,并用于IT操作场景。SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。例如基础设施监视、应用程序性能监视和故障排除。” —— Freebuf 《青藤云安全新技术洞见:安全编排、自动化及响应(SOAR)解决方案》。


目前国内外主流SOAR产品:

  • 擅长剧本编排的Phantom被Splunk收购

  • 擅长前端交互的Demisto被PaloAlto收购

  • IBM、Rapid7等公司都有自己SOAR类产品

  • 盛华安——国内首家宣称提供SOAR的公司

  • 雾帜智能——主攻SOAR+AI的新锐安全公司

  • 绿盟、安恒等老牌公司公众号都声称有SOAR产品


今天咱们测试体验的就是上海雾帜智能科技有限公司提供的SOAR产品HoneyGuide在线体验版。

SOAR产品HoneyGuide试用体验

可视化安全剧本编排

安全编排是SOAR产品的灵魂,拿到试用账号后我直接就去体验了剧本编排功能。但是这个在线体验版居然是阉割的——只能查看已有的剧本,不能自己动手编排,有点遗憾。最后还是联系傅老板走后门给开通了。


先不说剧本跑起来怎么样,单看剧本编排的界面和菜单我就震惊了:这绝对是战斗机级别的产品!雾帜智能的SOAR产品HoneyGuide提供了可视化剧本编排能力,允许安全人员根据自身逻辑进行安全剧本编排。编排过程中支持插入:

  • 可在安全设备上执行动作

  • 条件判断规则(据说后台是个超强的规则引擎)

  • 审批节点(自动化流程也有人工介入的场景)

  • 虚拟节点(据说把人当做一个应用系统,很有意思的创意)

  • 异步节点(有时候一个动作完成后, 总要等待点什么)

  • 可被嵌套的子剧本(嵌套微剧本,这可以)


我们这里以一个“基于阿里云环境的暴力破解处置”剧本为例,通过剧本菜单【新建】按钮进入剧本创建和编辑界面即可启动剧本编排。

1588667216137736.png


在流程中插入安全动作时,可以从左侧功能菜单选择目前已经支持的80多个国内外主流安全产品、IT产品或者SaaS服务。

1588667316128507.png


选择具体应用(APP)后,可以点选该应用已经支持的所有安全动作,例如某WAF产品可支持的动作(Action):

1588667431235072.png

确认动作后,可以选择该动作的输入参数。按照官方介绍,所有事件原始字段、环境变量和上游节点的输出参数都可以作为下游节点的输入参数。

1588667521842806.png

完成节点命名和参数填充后,点击【保存】插入动作节点,效果如下:


1588667581483914.png


当然,根据需要安全人员还可以继续增加更多的节点和判断逻辑——取决于安全剧本的逻辑。


按照雾帜官方介绍,安全剧本支持由外部事件触发后自动执行,也支持工程师手工执行。下图就是我手工执行该剧本的情况。此处假定暴力破解的源IP是:185.17.123.206。


1588667631111340.png


各动作节点执行结果如下显示:


1588667672259990.png


目前该事件处置剧本进入到人工审核环节,安全人员审批通过后,会自动调用阿里云安全组进行IP隔离。


以上动作,正常情况工程师在岗的情况下,2~-3个人熟练配合,也需要5~10分钟才能顺利完成。而通过HoneyGuide产品的安全剧本编排,可以在1~2分钟内完成,排除人工参与环节,几乎是数十秒完成的动作,速度惊人!SOAR的优势果然不同凡响!


多人在线的作战室

安全事件发生后,企业安全团队通常会通过钉钉、微信进行沟通,我所在的企业使用的是企业微信。当然也有电话、邮件等一系列处置手段。但人员组织毕竟分散,很多时候有些信息需要及时地与团队分享。在现实中我们通常会找个会议室,召集各部门到会议室沟通。HoneyGuide产品提供了一个虚拟作战室,允许邀请不同部门不同角色的人员参与事件处置。这倒很类似Demisto的warroom,但又不完全一样,感觉上更符合国内用户的习惯。人员支持被分派了不同的角色,中间可以随时邀请其它人员,协同作战过程一目了然。


1588667729863398.png


考虑到事件处置过程安全动作可能被聊天记录刷屏,雾帜智能团队贴心地设计了“专注模式”,让安全人员可以越过聊天过程更加聚焦事件处置过程。这个设计不得不佩服,灵感来自钉钉的专注模式?

1588667768120563.png



往往事件处置完成后,事件记录就变成了一堆无用的聊天记录。在HoneyGuide产品中,可以将事件一键导出为安全事件处置报告,并归档到知识库实现知识沉淀和传承。

1588667799109163.png

本次事件中总共调用多少剧本、动作,耗时多少,都能在事件处置报告中体现。根据需要,还可以补充总结内容。

1588667833110689.png


自然语言交互的人机协同

应该说这是一个震惊了我的功能!曾几何时,我们的安全事件处置过程中,人员之间相互沟通后,有些安全动作最终要落地到安全设备进行响应处置。然而因为人的参与,从安全人员发出意图到真正安全指定得到执行,中间需要经过大量的等待时间。


HoneyGuide产品提供了支持自然语言交互的人机交互机器人,安全工程师只需要用自然语言描述自己的需求,机器人就可以准确推荐安全动作,并帮助执行。因为演示环境可调度的设备有限,我做了几个简单的测试。机器人“雾空”果然了得!


举个例子,我想知道某个md5值对应的原始字符串,居然可以直接@机器人口算md5!


1588667866197130.png


看到没,这种操作就像是工作过程中和真实的同事沟通一样便捷!这哪里是机器人,这是智能队友啊!这里借用一张官方之前的宣传图:


1588667893159659.png


当然,按照官方说法,所有可调度的能力除了可以自然语言实现调度外,还支持功能菜单和命令提示符方式使用,如下:


1588667919717226.png



支持工单流转的事件管理

安全事件从其生命周期看,通常由不同的阶段组成,而在不同的阶段往往需要不同的人员、剧本、动作进行响应。HoneyGuide产品显然关注到这一需求,并将其实在“阶段”管理中。


1588667950650243.png


安全工程师可通过预定义事件处置模板或模型,对安全事件不同阶段安排不同的人员或剧本进行响应。工程师之间也可以进行工单流转。相关处置记录以备注形式录入在事件处置记录中。


动作级控制的安全保障

作为一款可以和各类安全产品进行了联动的设备,其自身安全性要求也很高。通过测试体验HoneyGuide产品,我们能够看到雾帜团队在安全方面的努力,主要包括如下:

  • 支持本地用户和LDAP用户登录鉴权

  • 用户密码必须符合复杂度

  • 提供防暴力破解的自锁定机制

  • 支持HTTPS通讯,且证书可以自定义(国内很多安全产品虽然提供HTTPS,但是客户没法自定义证书)

  • 支持用户角色管理和基于角色权限控制,多达70多个权限子项颗粒度

  • 支持操作行为审计,几乎前端所有的操作过程都会被审计

  • 自持系统配置备份导出和导入,避免数据丢失

  • 与安全设备对接的应用程序支持读写动作分离。还有一个“安全模式”,但是测试期间没用上。

  • 支持金融级场景,动作级别的权限控制。(大概是执行每个动作前都要人工确认一次,满足特定客户的严格安全管控要求)

以Fortigate防火墙为例,目前HoneyGuide支持在该防火墙上执行5类动作,但为了满足企业安全管理需求,系统对这些动作的调用其实是做了严格管控的。

1588667980135867.png

系统除了对动作做了读写分离外,还设置了安全模式。同时,根据某些特定场景客户的需求,还可以细粒度定制每个动作谁能执行!

1588668017100914.png


好吧,关于SOAR产品的安全性,HoneyGuide考虑的比我想的多……



一点遗憾

因为时间仓促,主要是我假期还有别的安排……没有做详尽测试的。不过从上手过的几个功能看,雾帜产品已经非常有优秀。当然测试过程中也遇到了一些小问题,有点遗憾。

首先,在线Demo版本不支持全功能,有些功能我没有体验到。其次,测试环境可调度的安全设备或能力有限,没有体验到与更多外部产品的交互操作。据说,HoneyGuide支持80+国内外主流安全产品,但是没有看到内容更加丰富的复杂剧本。CTO傅老板告诉我,没有哪个客户会刚好使用了HoneyGuide支持的全部80+产品,所以根据自己的需求设计最适合的场景剧本最重要。雾帜产品默认提供了针对30多个通用的安全场景的剧本,但也需要结合用户实际环境做调整



试用总结

纵观国内安全市场,目前能够拿出产品交付并具备客户案例的SOAR产品凤毛菱角。从我接触的产品和今天的测试看:雾帜智能HoneyGuide代表着国内SOAR领域产品的最高水准,是行业技术发展的风向标。雾帜智能也是拥有大量创新成果的国产安全公司。测试过程中,不仅体验到该企业产品的技术创新,也感受到了创始团队成员对极致技术的追求和成员之间默契的配合,算得上是理想中的未来安全企业。


国内大多数SOAR是组件化功能,也是大厂们为了维护自身市场做的增值开发。而雾帜智能公司则是以SOAR为平台,以产品化交付为目的,专注打造精准场景下的小而美的产品,独树一帜!


最后:因为本人水平有限,以及测试环境的问题,有些SOAR产品相关的细节测试还不够到位,这不符合我以往的风格。傅老板说了,等节后可以给我再安排一次,充分体验。而且,后续雾帜也会把自家公司网络环境的生产数据发送到Demo环境进行演示,这样能够更加直观和真实地体验SOAR产品的价值,很是期待!



如若转载,请注明原文地址

知识来源: https://www.4hou.com/posts/n8Z4

阅读:39276 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“国产SOAR产品HoneyGuide试用体验”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词