• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    天翼数科:自动化安全编排运营平台

    来源:中国电子银行网 2022-05-11 12:53:47 天翼数科 数智平台
         来源:中国电子银行网     2022-05-11 12:53:47

    核心提示天翼数科对自动化安全编排与响应实践以“四个中心+一个引擎”的架构为基础,实现对于中国电信集团安全原子能力、威胁情报、第三方服务等异构系统的统一编排管理。

    网站文章置顶图750x300

    案例名称

    天翼自动化安全编排运营平台

    案例简介

    金融系统面临海量的网络攻击,安全设备需要处理大量的的安全事件预警与处理,企业内部面临着诸多安全事件的运营问题。 

    针对场景痛点,平台以安全设备分析和异常告警安全事件作为输入,通过编排和执行安全剧本的方式,将设备安全事件的处理以及内部事件管理流程进行结合,完成原来需要多人多系统多界面在线协同才能处置的安全事件,降低人员依赖,保障应急处置质量,减少企业安全团队平均故障恢复时间(MTTR),提高安全应急响应效率,为金融业务安全保驾护航。

    创新技术/模式应用

    天翼数科对自动化安全编排与响应实践以“四个中心+一个引擎”的架构为基础,实现对中国电信集团安全原子能力、威胁情报、第三方服务等异构系统的统一编排管理,利用云端应用包及固化的专家经验为企业提供优秀的人机协作能力,将企业内部安全管理与事件处置做有机编排。

    (1)基于工作流模式的可视化剧本编排能力

    流程编排模块提供可视化的编排工具,允许用户以拖拽的形式简单快速完成工作流程的配置,以事件管理为主线,将安全策略、安全预警、专家研判、处置响应、分析复盘和内部安全管理流程进行编排,将复杂的事件响应过程和任务流转变为一致的、可重复的、可度量的和有效的工作流,实现自动化运营的目标。 

    1

    图1 数据交互图

    (2)云应用包市场,打造开源社区。

    开放的应用包市场,已原生支持应用包开发框架的自助集成,形成应用包开发编程规范,应用包市场提供标准化开放式应用开发框架,允许用户自行开发和分享应用工具包,以满足个性化编排需求。

    2

    图2 云应用包市场

    (3)专业丰富的固化经验库

    根据监控分析专家多年的分析经验,固化为攻击检测剧本、误报检测剧本、研判辅助剧本、溯源分析剧本、联动处置剧本,帮助用户解决日常监控中所遇到的绝大多数问题,减轻专业安全人员的工作,同时提升系统处置效果,并且可以根据不同用户的剧本,进行个性化改造,形成自己的专业剧本库。平台定期通过云端下发最新的相关剧本,不断更新分析处置能力,帮助用户第一时间应对新发现的安全事件。

    (4)剧本自动化处置

    企业中安全事件处置流程经验可以固化为剧本,并应用于自动化响应处置中。处置的动作可包括设备封堵、工单发送、邮件通知等,无需安全运维人员登录到独立的安全设备上配置阻断策略,形成威胁处理的闭环。

    3

    图3 IP封禁自动化处置示例

    项目效果评估

    金融网络安全应急及响应流程中,安全事件的响应处置,涉及分散的系统工具,人员和多个流程界面,碎片化的运营协作导致安全处置效率低效。本系统通过可视化场景剧本编排,半自动化/自动化的安全运营协作,实现支持异构系统间的安全事件响应,提升网络安全应急协调处置能力,降低运营成本,提升安全运营效率。

    封禁是一种常用且有效的风险遏制手段,但由于实际应用中工作量大、重复枯燥,还可能影响到业务。平台系统的封禁类剧本应用阶梯式封禁和全局黑白名单,省去了不同设备间同步配置的麻烦,舍弃传统工单流转审批,还可使用钉钉等通信工具进行审批,降低安全事件处置时间MTTR。

    QQ截图20220511125241

    图4 封禁类场景传统与自动化方式对比

    备注:

    1、具体总耗时,受网络连通、关联设备接口耗时、既有流程环节复杂度等现场部署环境因素影响,耗时会有所偏差。

    2、若存在人工审核流程,其属于应用场景中人工审批环节,不适用于自动化处置,耗时依据已有场景人工运营响应情况而定。

    多环境、多网络区域的存在给安全运营带来了不小的挑战。修复类剧本针对失陷主机自动化重启恢复,防止风险扩散,应根据其环境特点采取分而治之的新思路。

    平台为网络安全运营中的每个环节提供标准化框架,降低运营门槛、提升运营效率、事件反馈和促进企业网络安全的正向建设,不断提升企业网络安全纵深防御体系的可感、可知、可控、可反击网络安全能力。

    项目牵头人

    刘奇 安全中心总经理

    刘剑群 安全总监

    项目团队成员

    刘奇、彭大祥、刘剑群、吴朝亮、孟熹、谢家祥、王亚洲、张长英、雷加伟、张骅、许佳行、宫冠鹏、邢佳佳、赵毅、刘鑫

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    收藏

    为你推荐

    收藏成功

    确定