攻防演练之-网络安全产品大巡礼二

书接上文，《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼一，这里。

“咱们中场休息一会，我去接杯水哈”，看着认真听讲的众人，王工很是满意，经常夹在甲乙两方受气的他，这次终于表现了一把，随后就去接热水去了。

“没想到王工懂的这么多，以他的能力，将来进入甲方也只是时间的问题把”。

“只要甲方有坑位，他应该问题不大”，众人附和道，一阵窃窃私语之后，有的去接水，有的去放水，老烟枪抽华子，新手们伸懒腰去了。

在这里插入图片描述

SOAR

一炷香时间悄然而逝，王工开始接着介绍了SAOR（Security Orchestration, Automation, and Response，安全编排、自动化与响应）系统。

“从SAOR名字可以看出，这类产品强调的是安全编排，自动化响应，很多的同事在刚接触到此类的产品也是一头的雾水。事实上能够成功落地的SOAR 产品，且被甲方所接受的都是在告警/案件/工单管理方面比较突出的。“

“案件管理，工单管理指的是什么意思”，亮哥团队很少发言的检测专家突然问道。

“我们的告警中存在大量的误报以及unwanted的告警，这块需要先排除，这块会由SOC人员分析。但是通常一个告警如果是真实的攻击，往往会上升到案件。案件的处理需要认真对待，由于案件的处理周期长，涉及的安全分析师不止一个人，会进行深度分析，会进行威胁狩猎等活动，需要威胁情报TI的人支持，同时往往需要IT修复人员的支持，需要输出案件的报告等。多人员的配合则需要工单的流转，纪录案件相关的上下文记录，这块是大型企业安全成熟度高的团队所需要的。传统的SIEM在案件的上下文记录，工单的管理是偏弱的，这就是催生出SOAR的直接原因。当然SOAR名字中的安全编排，自动化响应目前更多的是对于案件、工单处理流程的编排，至于自动化的响应，说实话没有几家企业敢第一个吃螃蟹的。试想一下，一台DNS服务器发生了病毒感染，你会按照剧本对该DNS服务器实施网络隔离吗。也许你认为自己做了正确的是，但是恐怕CISO会直接将你开除。总的来说自动化响应这块应用的范围较窄，对于一些安全等级不是很高的系统可以尝试使用，可以更快速、更准确地应对安全威胁。但是安全分析师配合相关人员手动的修补仍然会是很长一段时间内的现状。“

“SOAR具备关联功能吗，SOAR和XDR的区别是啥？”亮哥问到。

“在关联这一块，SOAR做的主要是将告警涉及的artifact进行提取，不同的告警中间具备相同的artifact进行关联。例如不同的案件之间具备相同的命令，这样安全分析师就可以将其进行关联。而XDR的关联更多的是在于告警上下文的丰富，不仅是告警与告警之间，更多的是侧重于告警和遥测数据以及日志之间的关联，减轻分析师的手动操作，让分析师能够更专注于分析攻击本身。”

XDR

既然提到了XDR，王工顺势打开了XDR（Extended Detection and Response，扩展检测与响应）的介绍页面。

“XDR是网络安全领域比较火的技术趋势，最初是由全球最大的网络安全供应商palo alto 提出的，他的目的是融合EDR，NDR等平台的告警和数据，减少企业安全产品的管理压力，为中小企业提供统一平台一站式的解决方案。由于中小企业的IT架构比较简单，数据量小，基本构成就是办公PC和服务器组成，传统的安全解决方案就是EDR，NDR，Email，Firewall，因此整合起来复杂度低。而且中小企业也不想在诸多的安全解决方案中分散过多的精力，因此XDR对于中小企业是一个非常好的技术发展方向。但是对于大型企业来说，有诸多的限制，历史包袱多，安全解决方案众多；架构复杂，包含传统IT，云环境，OT网络等等；数据量巨大，多种异构数据源无时无刻不在产生海量的数据。同时目前一些XDR基本还是由EDR演进而来，不能不说是挂羊头卖狗肉。因此XDR在很多的大型企业中，像我们所在的甲方推进缓慢。”

“但是XDR这种技术理念的趋势，统一目前企业诸多安全解决方案的现状估计也是时间问题”，产品经理强哥补充道。强哥是乙方产品的一名产品经理，这次也是迫于领导的压力，在攻防演练期间四处拜访办事处和甲方单位，这次出现在该甲方现场，也说明他对该客户的重视。

“Hi，强哥，你来了”。在和产品经理简单寒暄后，王工继续补充道，“没错，目前甲方的张博士对于新技术持开放态度，因此对于C公司的XDR目前在企业内部处于POC阶段。不过目前大家已经习惯了老的工作流程，对于XDR的使用积极性不高。如果将来XDR不仅能够整合EDR和NDR，还能够整合SIEM，SOAR，Email等多种能力，实际的为企业减少管理维护这些设备的成本，提供更全面的威胁检测和响应能力，我想这是甲方企业乐于见到的”。

“XDR这块目前还是POC阶段，估计大家使用评率不高。不过，亮哥你们研发可以借鉴和研究下C公司XDR的优点，也许可以给我们的产品演进提供一些思路”，王工提醒道。

邮件网关

前面给大家介绍的都是比较大的平台，因为平台管理的终端和数据量比较大，因此使用的比较频繁。接下来给大家介绍一下在攻防演练过程中也需要格外关注的邮件网关。说着王工打开了Email的介绍页面。

“钓鱼邮件是攻防演练中最为常见的一种threat vector，通常来说在演练的后期，红方无法使用其他手段突破防守的时候，钓鱼邮件的数量会偏多。在去年的演练过程中，蓝方通过钓鱼邮件，贡献了两份的溯源报告。目前甲方使用的邮件安全解决方案是一家国内比较小的安全公司，专注于邮件安全。邮件服务器会将收到的邮件拷贝一份到邮件处理服务中，通过对于邮件内容以及附件的分析，判定是否存在钓鱼邮件。不仅在攻防演练的过程中，在日常安全运营过程中，邮件网关都起到巨大的作用。据说这家公司的创始人是国内知名战队创立的，其内置的沙箱贴近实战化的检测能力为改款产品赢得了良好的口碑。加之国内大的安全公司普遍不重视邮件安全这块，因此该公司这几年发展势头不错。”

“邮件解决方案的思路有两种，一种是沙箱，另外一种是和威胁情报相结合。我之前一个朋友也是做邮件这一块的，他们的优势在于将邮件和威胁情报相结合，提供云上的URL检测能力，效果也还不错。”

“小白，这次演练过程中，邮件这块的盯屏就有你来负责，所以接下来你要快速的熟悉邮件网关的使用，一旦发现可疑行为要理解报告给我。”，Nick顺势安排着。

云沙箱

接下来，王工继续展示了云沙箱的介绍页面。

“云沙箱更多的定位不是实时检测类工具，而是为安全分析师提供的分析类工具，是我们用来检测和分析可疑文件，程序以及URL的工具。”

王工说道，“它能够在一个隔离的环境中运行可疑文件，观察其行为，判断是否存在恶意行为。通过这种方式，我们可以在不影响真实环境的情况下，安全地分析潜在威胁。”

“云沙箱和传统沙箱有什么区别？”安服A问道。

“云沙箱具有更强的扩展性和灵活性。”王工解释道，“传统沙箱通常部署在本地，资源有限，而云沙箱可以利用云计算的强大资源，提供更快速、更全面的分析。此外，云沙箱可以随时更新和升级，保持对最新威胁的检测能力。”

“事实上当初引进云沙箱并不容易，一方面国内的很多行业处于数据安全的考虑，对于云的安全解决方案接受程度普遍不如国外。另一方面团队的安全成熟度偏低，对于云沙箱的需求并不明显。通过刚才的动员大会你们可以看到，张博其实是非常懂安全的。这款产品其实是他力排众议引进的，据说他是一个非常有野心的人。准备在该行业打造高安全成熟度团队的标杆，我还是蛮佩服他的。不过话说回来，云沙箱可以帮助我们分析恶意软件以及URL的访问行为，极大地降低了我们对于恶意软件的分析难度。”

“恶意软件不用担心，我们团队这次配备了逆向高手，这点大家不用担心”，Nick淡淡的说到。