IT自動化安全運維平臺解決方案整理制作：郎豐利1519制作時間：2023年睿利而行整理制作：郎豐利1519制作時間：2023年睿利而行整理制作：郎豐利1519制作時間：2023年睿利而行2023年內容企業(yè)日常安全運維遇到的挑戰(zhàn)CASK平臺如何幫助企業(yè)實現自動化安全運維自動化場景舉例國產安全產品適配CASK平臺與傳統(tǒng)方案相比有什么區(qū)別?日益增長的告警每次告警難以響應分析人員缺乏2百萬安全專業(yè)人才缺口沒有統(tǒng)一流程的安全響應缺乏量化指標，處理問題只能通過電話或者郵件溝通安全產品整合難整合復雜性高，需要專門的開發(fā)團隊數據結構多樣不同產品有不同數據，無法直接連通數據共享難不同產品位于不同的安全控制點，最早發(fā)現威脅的設備無法實時共享情報到其他安全控制節(jié)點。聯動流程復雜要設計一系列安全動作要穿插大量不同產品，沉沒在技術細節(jié)中安全運維面臨的挑戰(zhàn)DATALAKES,SIEMs越多的安全產品，聯動的復雜性越高THREATPLATFORMS&ANALYTICSORCHESTRATIONOTHERSIEMsOTHERDATALAKES3rdPARTIESINCONSISTENTAPIs漏洞掃描安全Web網關上網行為管理網絡流量分析主機加固端點安全IDS/IPS防火墻高級威脅防護郵件安全網關數據防泄漏整合所有安全產品，統(tǒng)一快速的調度DATALAKES,SIEMsTHREATPLATFORMS&ANALYTICSORCHESTRATIONOTHERSIEMsOTHERDATALAKES3rdPARTIESAPIs漏洞掃描安全Web網關上網行為管理網絡流量分析主機加固端點安全CASK平臺IDS/IPS防火墻高級威脅防護郵件安全網關數據防泄漏CASK的工作方式自動執(zhí)行動作行為阻斷策略應用啟用查殺告警通知合規(guī)部門安全運維人員事件回溯排查驗證事件目錄事件聯動編排Syslog告警和事件1234SIEM進一步的分析預置自動處理事件和安全操作的適配支持主流事件接口,事件約束,數十種安全產品的聯動安全指標跨歷史數據關聯及分析自動發(fā)現安全指標（IOC）事件處理的SLA跟蹤和指標衡量證據收集和歸檔符合監(jiān)管及合規(guī)需求實時協(xié)助和流程轉移實時交互和專業(yè)工具所有的調查動作自動生成文檔實時交互分析安全事件管理安全場景式自動化綜合威脅管理CASK自動化安全運維平臺事件驅動安全運維中心API安全運維中心基礎架構數據湖,SIEM自動化編排分析事件告警動作執(zhí)行CASK標準化過濾路由適配器PARSERS連接器消息推送和訂閱歷史數據CASK在安全運維中心（SOC）框架中的位置各安全產品漏洞掃描網關代理流量分析高級威脅郵件網關數據防泄漏主機加固端點安全防火墻數據存儲威肋分析通知告警聯動動作確定的行為待定的行為事件驅動架構安全運維人員互動確定的場景事件待定的事件事件代理事件分類賬EHEHEHEHEHEHEH=EventHandler事件處理程序事件驅動的安全自動聯動防火墻阻斷終端防護隔離郵件網關攔截SIEM分析威脅情報匹配安全專家響應安全事件發(fā)生事件-響應-通知-人工處理各安全產品和設備產生安全事件主平臺運行在云端

或者本地服務器上對外部資源

進行關聯整合自動讓人或者

安全設備實時響應APP下發(fā)響應確認CASK的事件驅動架構實現連接適配器事件目錄集合安全產品事件Alert/Log/Message事件流程編排低代碼的VAIL編輯客戶端響應流程編排響應的安全產品網頁應用手機應用實時的、事件驅動的安全聯合應用關聯整合規(guī)則、最佳經驗、約束條件、業(yè)務需求事件類

數據流防火墻端口暴露警報宿主或網絡異常流量后門和木接終端安全產品的事件系統(tǒng)間的攻擊黑名單URL的訪問代理解析出惡意鏈接其他涌現的威脅事件實時的

響應防火墻阻斷終端防護隔離主機對終端全盤查殺分配臨時備用資源郵件網關阻止發(fā)信所在網絡獨立VLAN應用服務關閉連接APP下發(fā)核準表單實時的

事件驅動的

聯動引擎掃描探針業(yè)務系統(tǒng)網關路由某著名企業(yè)設備CASK平臺帶來的收益減少平均修復時間(MTTR)30%統(tǒng)一的事件管理流程和衡量指標通過自動化聯動將有確定威脅的事件自動下發(fā)策略從不同網絡層同時監(jiān)控，快速定位威脅減少告警量–客戶在部署了CASK后，每警數量（需要人工審核的告警）從10000減少到50095%提供自動化的安全運營，提升安全運維的效率充分發(fā)揮現有安全產品的能力開源社區(qū)的支持開源的適配器和工具集成可復用的流程編排模版來自全球的安全專家?場景1.威脅流量觸發(fā)的多產品聯動FW發(fā)現有威脅流量的產生下發(fā)指令給SEPMSEPM令事件主機執(zhí)行全盤查殺SEPM令事件主機隔離CP令事件主機與外網斷連令WAF對事件主機服務降級122324INTERNETWEBAPPDB…事件主機CASK場景2.自動的網站防護策略應用漏洞掃描在環(huán)境中自動掃描漏洞掃描發(fā)現有未防護的漏洞生成防護策略模板，在WAF上應用讓漏洞掃描再執(zhí)行一次，確認漏洞已經修復123WEBAPPDB…CASK場景3.多級網絡下的數據庫安全防護用戶2從VPN登錄內網用戶1在內網直接通過堡壘機連DB再由堡壘機操作DB用戶登錄VPN的事件向OA詢問操作權限?OA都給予了危險操作特權危險操作事件允操作????因DBF策略危險操作無法進行因用戶是VPN登錄，不可使用OA給予的權限12345123554WEBAPPDB…BYODUSERSINTERNALUSERSOADB…ImpervaDBFCASK場景4.威脅情報庫支持的聯動TIDECheckpointFirewall??InfobloxDNSFirewallC&C服務器從TIDE同步多種安全產品的威脅情報1向遠程惡意服務發(fā)起請求2DNS將解析請求日志上報3日志命中多項高危情報4將命中情報和動作建議發(fā)送專家確認5在各級安全產品上阻止連接6CASK安全專家某著名企業(yè)App被感染主機INTERNET場景5.自動化批量修改多臺不同品牌的防火墻策略CASKOADB…提交防火墻策略變更申請批準消息推送至CASK領導批準變更請求CASK抓取工單內容CASK在指定時間點批量操作多臺不同品牌的防火墻品牌A防火墻集群品牌B防火墻集群WebPortal展示&手機App展示國產安全產品適配CASK的工作方式適配國產安全產品自動執(zhí)行動作行為阻斷策略應用啟用查殺告警通知合規(guī)部門安全運維人員事件回溯排查驗證事件目錄事件聯動編排Syslog告警和事件1234SIEM進一步的分析CASK平臺支持的對接方式適配各種產品、系統(tǒng)HTTPRESTfulAPI接口MQTT消息AMQP消息Kafka消息其他：UDP、OPC-UA、JDBC、JMS、log文件抓取等CASK與傳統(tǒng)解決方案的區(qū)別事件驅動-響應速度快數據庫數據請求響應存儲檢索l數據源或服務251346操作2事件驅動

應用程序處理&分析1流式數據源傳統(tǒng)應用程序邏輯處理分析操作?開發(fā)小型項目，使用CASK平臺的前后對比之前5種以上的開發(fā)工具或者平臺5名以上的專業(yè)開發(fā)工程師1,000行以上的代碼編程3個月的開發(fā)和部署時間完整團隊參與持續(xù)維護12345敏捷開發(fā)、快速迭代之后CASK平臺2名開發(fā)人員~100行左右的代碼編程2的開發(fā)和部署時間~1周/月的維護工作12345>10x生產力提升CASK是一個高生產力的aPaaS平臺，基于此平臺的開發(fā)人員指定的是業(yè)務邏輯，而不是底層的實現細節(jié)。這被稱為低代碼。

在需求定義階段，需求方和開發(fā)人員共同定義事件和所需的操作。

由此，CASK自動創(chuàng)建軟件應用程序的基礎或開端。CASK平臺的可視化工具用于添加完成應用程序所需的分析、協(xié)作和附加服務。

CASK平臺包含了