自動化技術(shù)在網(wǎng)絡(luò)安全運營中的應(yīng)用對現(xiàn)代企業(yè)非常重要，不僅可以解決網(wǎng)絡(luò)安全技能不足問題，同時還能夠顯著提升組織的整體安全運營效率。不過在現(xiàn)代企業(yè)組織中全面實現(xiàn)網(wǎng)絡(luò)安全自動化的潛力并不是一蹴而就的。隨著信息化環(huán)境、威脅防護(hù)和業(yè)務(wù)需求不斷變化，企業(yè)可以從一些典型安全運營場景入手，長期做好自動化技術(shù)迭代和優(yōu)化工作，并定期評估和優(yōu)化調(diào)整自動化流程和工具，才能讓自動化技術(shù)在安全運營中真正有效落地。

本文列舉了自動化技術(shù)在安全運營中實際應(yīng)用的4個典型用例，并對其應(yīng)用價值和工作流程進(jìn)行了分析。

用例1、自動化攻陷指標(biāo)（IoC）監(jiān)測

攻陷指標(biāo)（IoC）主要用于確定系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序是否已受到攻擊或遭受損害的信息，通常包含已知的惡意活動跡象，如文件哈希、惡意 IP 地址、惡意域名等。攻陷指標(biāo)監(jiān)測一直是安全運營工作的重要環(huán)節(jié)，對于及時識別和響應(yīng)突發(fā)性網(wǎng)絡(luò)安全事件至關(guān)重要。在傳統(tǒng)運營模式下，安全團(tuán)隊需要從各種來源手動收集有關(guān)各類IoC信息，這需要耗費大量的人力和精力，并會減慢響應(yīng)過程。自動化的IoC監(jiān)測則可以大大提高安全運營效率。

工作流程：

?提取IoC：使用文本解析工具或其他自動化方法，以自動化方式從各類安全設(shè)備的安全日志或警報中提取出需要的IoC數(shù)據(jù)。

?與威脅情報關(guān)聯(lián)分析：當(dāng)需要IoC被提取后，可以通過VirusTotal、URLScan、AlienVault等威脅情報工具的API提交接口，自動化地進(jìn)行數(shù)據(jù)匯集和分析處理。這類工具可以幫助企業(yè)快速提取出額外的上下文信息，比如IP地址是否與已知威脅相關(guān)聯(lián)，或者域是否被標(biāo)記為可疑活動。

?匯總分析結(jié)果：將IoC分析結(jié)果自動化地匯總成單一的綜合報告。這一步可以確保所有相關(guān)信息都被統(tǒng)一存放，便于后續(xù)的分析使用，因而安全分析師能夠很容易地評估威脅的真實性和優(yōu)先級。

?交付數(shù)據(jù)：經(jīng)過分析處理的IoC數(shù)據(jù)，隨后通過Slack等通訊渠道來交付，或者直接添加到安全管理系統(tǒng)中的相關(guān)事件工單中。這樣確保有需要的人可以立即獲得所有必要的信息。

用例2、自動化外部攻擊面監(jiān)測

組織的外部攻擊面包括所有可能被攻擊者利用的面向外部的資產(chǎn)，這些資產(chǎn)包括域、IP地址、子域和公開的服務(wù)等。定期監(jiān)測這些資產(chǎn)對于識別不斷變化的資產(chǎn)狀況，并緩解其中潛在漏洞非常重要，而這種監(jiān)測可以通過自動化的掃描、漏洞管理和威脅情報源來實現(xiàn)。

工作流程：

?定義目標(biāo)資產(chǎn)：外部攻擊面監(jiān)測的前提是要定義出構(gòu)成外部攻擊面的域和IP地址，這些資產(chǎn)應(yīng)該被記錄在一個自動化系統(tǒng)可以識別參照的文件中。

?自動偵察：通過使用Shodan之類的互聯(lián)網(wǎng)資產(chǎn)測繪工具，定期掃描這些資產(chǎn)。先進(jìn)的資產(chǎn)監(jiān)測工具能夠準(zhǔn)確識別組織敞開的端口、暴露的服務(wù)及其他漏洞。

?匯總和刪除重復(fù)發(fā)現(xiàn)：這些掃描所得的結(jié)果需要自動匯總到一份監(jiān)測報告中。任何重復(fù)發(fā)現(xiàn)的結(jié)果都被刪除，以確保報告的簡潔和可操作性。

?自動提交監(jiān)測報告：外部攻擊面監(jiān)測報告可以通過電子郵件、Slack或其他首選的溝通渠道來提交。這份報告需要重點反映出新的或發(fā)生變動的資產(chǎn)、潛在漏洞和任何可能構(gòu)成風(fēng)險的冗余應(yīng)用程序。

用例3、自動化漏洞管理

應(yīng)用程序中的漏洞一直是最受攻擊者關(guān)注的常見攻擊目標(biāo)。而做好漏洞管理需要包含整個漏洞防護(hù)的全生命周期，在有效識別漏洞的基礎(chǔ)上，進(jìn)一步評估、排序和處置修復(fù)所發(fā)現(xiàn)的各種安全性缺陷。開展全面且持續(xù)的漏洞管理工作，對于企業(yè)組織改善數(shù)字化應(yīng)用安全狀況，降低潛在風(fēng)險，并保持?jǐn)?shù)字資產(chǎn)的完整性和可信度至關(guān)重要。在此過程中，企業(yè)組織不僅需要遵循漏洞管理的最佳實踐，還需要借助自動化的漏洞管理工具和流程。

工作流程：

?定義應(yīng)用資產(chǎn)：首先應(yīng)該繪制出存放或托管組織各類應(yīng)用程序的所有域和IP地址清單。這些資產(chǎn)應(yīng)該被記錄在一個可被識別的文件中，方便自動化系統(tǒng)參照。

?漏洞自動掃描：將已定義的應(yīng)用資產(chǎn)自動發(fā)送到OWASP ZAP、Burp Suite等漏洞掃描工具。這類工具能夠執(zhí)行全面掃描以識別漏洞，包括攻擊者經(jīng)常利用的漏洞。

?收集結(jié)果并確定漏洞優(yōu)先級：自動收集掃描所得結(jié)果，并根據(jù)檢測到漏洞的嚴(yán)重程度確定優(yōu)先級，重點顯示關(guān)鍵/嚴(yán)重漏洞，這有助于將資源分配給最危險的威脅，實現(xiàn)安全投資回報最大化。

?自動補(bǔ)丁管理與修復(fù)：將漏洞管理生命周期與補(bǔ)丁管理系統(tǒng)集成，實現(xiàn)漏洞修補(bǔ)過程自動化。減少修補(bǔ)任務(wù)的人工干預(yù)，使安全人員能夠處理復(fù)雜問題。盡量縮小識別和修補(bǔ)漏洞之間的時間窗口，減少攻擊者得逞的機(jī)會。

?安全分析與主動威脅防御：利用漏洞管理生命周期自動化收集和分析漏洞數(shù)據(jù)，為主動防御獲得更多洞察力，主動調(diào)整安全策略并優(yōu)化資源分配，以獲得最大效果。

用例4、自動化監(jiān)測被盜憑據(jù)

主動監(jiān)測有無被盜憑據(jù)是組織安全運營策略的一個重要要求。而自動化監(jiān)測被盜憑據(jù)目前已經(jīng)是一項被各類組織廣泛應(yīng)用的安全運營實踐，通過收集來自各種安全泄密事件的數(shù)據(jù)，可以幫助組織快速了解他們的憑據(jù)是否已泄露，從而降低數(shù)據(jù)泄露的損失。

工作流程：

?匯總用戶電子郵箱、應(yīng)用系統(tǒng)和域：創(chuàng)建一份列表，列出需要監(jiān)測的用戶電子郵件地址、業(yè)務(wù)系統(tǒng)或域。該列表應(yīng)包括組織中所有相關(guān)的用戶賬戶，尤其是那些擁有特權(quán)訪問權(quán)限的賬戶。

?查詢泄露憑據(jù)數(shù)據(jù)庫：借助匯總后的電子郵件地址、應(yīng)用系統(tǒng)或域列表，自動調(diào)用第三方憑據(jù)泄露查詢服務(wù)（如Specops、HIBP等）。這一步包括定期向其發(fā)送查詢請求，以自動化檢查是否有任何電子郵件地址出現(xiàn)在已知的數(shù)據(jù)泄密事件中。

?匯總和分析結(jié)果：收集來自查詢服務(wù)的響應(yīng)。如果泄密數(shù)據(jù)中發(fā)現(xiàn)任何電子郵件地址或域，則匯總和分析這些泄密事件的詳細(xì)信息（比如泄密源、暴露數(shù)據(jù)的類型和泄密日期）。

?發(fā)送警報和報告：如果檢測到泄露的憑據(jù)，自動生成警報。該警報可以通過電子郵件、Slack發(fā)送，也可以作為高優(yōu)先級工單集成到組織的事件響應(yīng)系統(tǒng)中。包含有關(guān)泄密的詳細(xì)信息，比如受影響的電子郵件地址、泄密的性質(zhì)和建議采取的操作（比如強(qiáng)制密碼重置）。

?立即執(zhí)行安全措施：系統(tǒng)可以根據(jù)泄密的嚴(yán)重程度，自動執(zhí)行安全措施。比如說，它可能觸發(fā)針對受影響賬戶的密碼重置、通知相關(guān)用戶，并加大監(jiān)測泄密賬戶的力度。

?定期計劃檢查：根據(jù)提前制定的檢查計劃定期查詢，比如每周或每月檢查一次。這確保組織始終了解可能涉及其憑據(jù)的任何新泄密事件，并能夠迅即響應(yīng)。

參考鏈接：https://www.bleepingcomputer.com/news/security/4-top-security-automation-use-cases-a-detailed-guide/