SOAR+HIDS,增强主机安全防
2023-6-16 11:18:4 Author: www.aqniu.com(查看原文) 阅读量:34 收藏

SOAR+HIDS,增强主机安全防

日期:2023年06月16日 阅:68

背景介绍 

随着网络安全攻防对抗的日趋激烈,主机当前企业和组织的安全运营工作面临的挑战越来越突出,外网防护的同时,内网主机安全防护也越来越重要。

HIDS(Host-based Intrusion Detection System),是基于主机型入侵检测系统的简称。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。作为传统攻防视角的重要一环有着不可替代的作用,可以有效的检测到从网络层面难以发现的安全问题,如:后门,反弹shell,恶意操作,主机组件安全漏洞,系统用户管理安全问题,主机基线安全风险等。代表厂商:青藤云、长亭、安全狗、深信服、启明星辰等。

企业和组织要在主机已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。正是在这样的背景下,SOAR应运而生。SOAR 的全称是Security Orchestration, Automation and Response,意即安全编排自动化与响应。该技术聚焦安全运维领域,重点解决安全响应的问题。它以安全编排和自动化为核心对既有安全产品、网络设备、IT系统和SaaS服务等基础能力进行统筹调度;基于可视化剧本编排和调度执行引擎,开展有逻辑、有顺序的自动化流程操作,实现日常安全事件运营和突发事件处置的过程自动化,辅助安全运营人员日常工作,提升安全运营效率。代表厂商:雾帜智能。

本文将讨论在主机安全防护过程中如何通过SOAR和HIDS的结合,开展更高效、更稳定和更智能的安全保障。

应用场景 

在主机遭受外部攻击需要开展快速响应时,一线安全事件响应工程师肯定有过这样期望:

1)不在岗时发生安全事件可以被自动处置,并且能够高效、准确;

2)在应急响应期间,只需登录一台设备即可得到所需日志信息,开展快速事件处置。

解决方案 

2019年8月国内首发的AI+SOAR产品——雾帜智能HoneyGuide,通过虚拟作战室、AI机器人和可视化剧本编排和青藤云HIDS进行联动,当发生主机安全事件时,帮助安全团队快速开展日志信息丰富及获取实现自动化、智能化的安全应急响应。

青藤云产品功能丰富,并且提供非常规范的接口对接方式,便于实现功能调度。联动示例(如下图)

典型客户案例:某金融科技集团公司、某汽车制造集团公司、某能源集团公司、某互联网公司、某交通企业单位。

场景举例:例如终端发现感染病毒,雾帜智能HoneyGuide SOAR通过结合HIDS,通过编排剧本开展快速调用HIDS实现主机日志获取及上下文的信息丰富,极大帮助安全人员开展自动化、快速化的安全事件响应。

关键步骤

雾帜智能HoneyGuide SOAR + HIDS,可实现主机进程等日志查询及处置,主要流程:

1. 安全剧本启动后,获取告警日志(来源态势感知或HIDS);

2. 查询HIDS服务器,并判断事件涉及的主机是否安装HIDS客户端或杀毒客户端;

3. 查询CMDB获取资产负责人/所有者,及资产所在资产组管理员的信息(邮箱等信息);

4. 根据HIDS返回的客户端安装情况,执行相应操作:

(1)有杀毒客户端,更新并启动杀毒;

(2)有HIDS客户端,启动后门扫描查杀;

(3)未装任何客户端,邮件通知资产负责人/所有者/资产组管理员。

5.  将异常结果通知资产负责人/所有者,如果没有查询到资产负责人/所有者,则通知资产组管理员:终端未装任何客户端,杀毒软件更新失败或杀毒或后门查杀发现了异常。根据不同判断进行对应通知。

方案成效

通过落地雾帜智能HoneyGuide SOAR+ HIDS的组合,大幅节约响应时间,降低人员依赖,保障应急处置质量。主要体现在以下方面:

1)防护全:7*24小时安全事件响应,做到全时段防护,避免人员不在岗风险;

2)速度快:自动化剧本响应做到秒级、分钟级事件处置,大幅提高响应效率;

3)流程稳:安全事件处理流程剧本化,做到安全事件处置流程化、标准化,避免因人员变动导致无法进行安全响应。

总 结 

通过SOAR+HIDS可以使主机安全防护响应更加全面和高效,无需安全人员登录平台手工查询日志,自动和上下游能力协作,开展自动化、快速化、高效化的应急响应,提升MTTR水平。目前雾帜智能HoneyGuide SOAR产品已经实现支持联动国内外主流终端防护系统:青藤云主机安全、深信服终端响应、赛门铁克SEP、奇安信天擎终端安全等,并且还在持续扩充中。

文章来源:雾帜智能


文章来源: https://www.aqniu.com/vendor/97006.html
如有侵权请联系:admin#unsafe.sh