SUPPORT链接:https://support.sangfor.com.cn/productDocument/read?product_id=141&version_id=1092&category_id=306356,跳转到support获取更多安全运营最佳实践。 前言
1) 我们如何将测试价值,转化为客户的认可?
2) 攻防演练中,哪些关键工作是我们不可忽视的?
3) 客户需求如何精准捕捉,并转化为测试目标和策略?
摘要
XDR平台+GPT大模型+组件构成的安全运营方案中,SOC运营替换场景是KA客户难度较大的一种场景。需要了解清楚客户的需求和痛点,拉近客户举例;并进行合理的需求引导,制定测试目录和测试策略。完成关键动作项,为展现价值亮点做好基础工作;并进行阶段性的汇报,让高层有感知。最后完成总结汇报,强化前期对⻬的预期及⽬标,凸显产品价值。
因此,本文提供了2个最佳实践案例,如XXX航空制造项目和XXX保险项目,展示了XDR+GPT在SOC替换场景中的POC最佳实践,实现了告警降噪、关键事件检出、告警运营效率大幅提升等显著成效,获得客户高度认可。这些实践为其他类似项目提供了重要参考和借鉴。
1. XXX航空制造项目POC最佳实践
1.1. 测试总结
1.1.1. 攻防演习成果
7月22日-8月30日连续高强度作战40天,胜利完成“攻防演习2024”安全保障,数据中心未被攻破,标靶系统未失守,核心业务系统0失分!
1) 获得组织方“优异”级演习评价
2) 安全GPT捕获6个0day漏洞攻击
3) 检出高对抗钓鱼邮件305封
4) 提交5份0day专项报告
5) 提交6份经典技战法总结
6) 发现高混淆、弱特征等高价值事件34起
1.1.2. XDR +GPT效果总结
1) 告警降噪效果:0730到0731的总告警量18919,融合后事件量90,准确度95%,需要关注的事件量10(过滤病毒),告警降噪率99%
2) 关键事件检出情况:0722到0731为止XDR+GPT检出的事件总量338,GPT分析准确率95%(大约值),其中事件情况0起外到内攻击成功, 共上报工单5起,处置的5起。此5起事件我司独报。
3) 事件检出对比友商检出情况:0722到0731对比奇安信无漏报,同时多检出7个独报告警。对比效果证明我司检出及时,覆盖同等资产无漏,有独报
4) 告警运营效率提升情况:0730到0731需要关注的告警数量2768条 ,剔除病毒木马后剩余1811条,对比之前每天需要关注的告警数量18919, 效率提升90%。
5) 基于GPT自动封禁情况:2024攻防演习期间(7月22日-8月30日),外部攻击原始攻击日志669946条,融合聚合告警共计为24325条。自动联动封禁14993个IP。
6) 流程工单机制建立情况:完成重保场景流程工单,在HW期间高效跨部门协同。后续交付要沉淀积累HW中的运营经验,基于场景构建和完善日常运营流程,通过针对各类事分别设计剧本,实现安全事件常态化自动化闭环响应,确保“件件能落”。
1.1.3. 客户认可
客户领导认可价值:
1) 认可XDR+GPT的产品思路以及在HW期间发挥的价值效果
2) 认可在HW期间结合XDR建立的屏蔽碎片化的安全运营体系,以及分级分类的自动化响应
3) 认可相比较友商的平台效果,对所有告警(包含第三方)进行二次分析及准确定性,同时配合GPT在研判上的精准度
4) 认可XDR和GPT在高级威胁检测上的能力,有效挖掘潜在攻击和独报告警
工程师认可价值:
1) 认可XDR告警事件研判的准确性和误报削减,提升了团队的整体防守效率
2) 认可XDR多源告警和智能值守能力,GPT研判能力结合剧本实现自动封堵,减少 了往年在封禁上的压力,有效让精力聚焦到更重要的安全告警
3) 认可XDR的AI智能研判,辅助驾驶能力,问答式的方式,协助用户快速解读及攻击溯源,整体提高了运营能力和分析能力
1.2. 项目背景
1) 客户环境现有安全运营平台主要是奇安信NGSOC平台,每天告警量太大,安全告警/事件无法闭环到人,仅有奇安信驻场2人处理不过来。
2) 本次攻防演习是xxx第6次参加国家级攻防演习活动,高度重视网络安全攻防演习实战的开展。总结历年攻防演习参演经验,将“全常态化(演习期间各类信息系统、网络专线均不得下线停用)”内容升级为“全常态化(安全风险监测覆盖全量资产,安全运营监控覆盖全时域)”监控,尤其在实战攻防演习环节,确保靶标不失陷,成绩有进步,能力有提升。
1.3. 环境调研与需求分析
1.3.1. 客户环境及部署情况
1) -分布式XDR:3节点分布式XDR,标准硬件部署,已上云,已升级到2.0.31版本
2) GPT大模型:1台本地运营大模型+1台本地检测大模型,已接入XDR
3) 组件:
a) 自有组件:STA - 3.0.59、AF - 8.0.85
b) 三方日志组件:奇安信NDS探针、天擎、青藤HIDS、绿盟WAF、盛邦WAF、山石防火墙
c) SOAR联动组件:AF、天擎、青藤、山石防火墙
1.3.2. 需求分析
1) 现状分析:
a) 客户去年HW成绩不好,今年期望HW成绩优秀(不被打穿,排名不错,有溯源反制得分)
2) 组织能力情况:
1、客户安全BU人数较少,人手不足,安全设备和资产管理较为割裂
2、各厂商驻厂只关注自家设备,缺乏统一运营管理,工单管理较为简单
3、 缺乏安全运营体系的建设
3) 需求分析:
1.4. 定测试目标
1) 23年HW成绩不好,24年深信服主防,期望HW成绩目标优异(不被打穿,排名不错,有溯源反制得分)
2) XDR+GPT有一定工作亮点,推进项目立项采购(23年已做概算,24年9月推进立项明细,推进采购)。
1.5. 定测试策略(预期价值点呈现)
1) 安全运营平台,告警降噪,安全运营关键流程跑通(比如先跑通一个事件处置流程),安全告警/事件闭环,高价值事件工单处置流程跑通。
2) XDR+运营GPT自动值守比较关注,全量告警-自动威胁运营旅程初步跑通,告警消减,E+N 关联,攻击故事线还原,发现高价值事件,自动化处置剧本推荐(对接XDR-SOAR系统,处置剧本要提前配置好)。
3) XDR+运营GPT辅助运营,安全问答互动流畅,数据包解读等能力提升运营效率。
4) 检测GPT,Web九大专项高价值增量告警检出(独报最好),发现Web 0Day(概率性),上线之后需要现网流量跑一下,调试效果。
1.6. 测试过程
1.6.1. 关键KCP节点执行情况
1.6.2. 坑点总结
1) 【资源保障】拉通售前、客服、安服、研发建立保障团队,快速响应客户需求和问题。
2) 【流程保障】建立问题问题障碍响应保障机制,使用问题表格进行跟进,快速闭环问题。
3) 【平台巡检】防演练前做一遍checklist排查,演练期间也需要每天检查一遍平台性能、告警日志时延的情况,有问题第一时间反馈研发负责人跟进排查处理
1.7. 价值表达与汇报
1.7.1. 屏蔽碎片化的威胁运营平台,告警统一监测运营
1) XDR目前已接入深信服AF、深信服STA、奇安信NDS、奇安信天擎、青藤、山石防火墙、绿盟WAF、盛邦WAF的安全日志,日均上报安全日志总量235w(深信服64w + 第三方171w)。PS:XDR已自动过滤低价值日志。
2) 对安全日志消减融合后,归并成1.6w个安全告警,大大提升研判效率。同个攻击,多个设备会上报的重复安全日志,而XDR会将它们融合成一个安全告警并对攻击结果进行精准修正。
3) 除此之外,XDR会根据ATT&CK框架,对一条攻击链相关的所有安全告警进行关联分析,聚合成一个完整的安全事件,方便研判人员进行快速溯源及处置。
1.7.2. 接入联动第三方设备,自动化封堵攻击
1) XDR接入山石防火墙、华为防火墙、天擎、青藤,支持联动第三方设备进行响应处置操作。
2) 目前已配置好自动化预案剧本,发现攻击IP后XDR可以自动联动防火墙封锁IP,相比去年省去了大量人工封锁的人力成本。目前预案自动处置成功率约为95%,小部分响应失败是因为客户网络不稳定的因素。
1.7.3. 流程工单,紧急事件快速闭环归档
1) 现场同事已配置好工单的角色及流程,目前工单已正常运转,针对紧急事件,安服同事会提交工单让客户进行协调处理,可以清晰同步每一环节的处理进度。
1.7.4. 资产唯一性盘点,定位到人和业务
1) XDR整合端、网、第三方资产,实现资产统一管理,同时实现资产定位到人。
2) 同时,依托端的数据采集优势,实现资产深度清点,快速查询定位应用及业务。
1.7.5. 智能研判,对所有告警(包含第三方)进行二次分析及准确定性
1) GPT充当AI安全专家,对每一个告警事件进行精准研判,给出结论,精准率高达95%,对比GPT上线前,效率大幅提升90%。
1.7.6. 智能值守,GPT研判结论可联动剧本实现全自动分析与响应
1) 建议“真实攻击未成功”都可以联动剧本自动闭环。 GPT研判与预案剧本进行深度结合,实现对攻击的全自动分析与响应,目前智能值守封堵准确率100%,节省人力成本30人天。
2) 某一天客户环境原因(山石防火墙突然下线)导致智能值守功能临时关闭,当天外对内攻击流量突然暴增,侧面体现了智能值守功能的重要性。
1.7.7. 高级威胁检测,挖掘潜在隐蔽攻击
1) 【0day检测】
a) 浪潮GS企业管理软件 多处 .NET反序列化RCE漏洞(告警id: 455aaace, 独报
b) 甄云SRM 模板注入漏洞,通过在输入框输入0day-poc,GPT解读可以识别恶意攻击;说明 检测GPT是可以识别0day攻击的
2) 检测GPT针对未知0day可以进行检测,一般其他设备需要在0day暴出来之后,添加url规则才能进行防护和检测
1.7.8. 【XDR+GPT独报告警】
1) 检测GPT效果总结
a) GPT对0day的检测效果,目前在hvv可以识别未知的0day
b) 目前安全 GPT 检测效果:针对 2024HW 期间内部狩猎到 93 个有攻击代码披露的重要漏洞,安全 GPT可以有效检出 85 个,Zero-shot 检出率达到 91.40%
c) GPT对高混淆和弱特征的攻击识别效果更好,主要在于大模型本身对语言、代码更好的理解能力,以及训练的数据量更多,所以识别效果更好
d) 检测GPT外对内准确率95%。
2) 独报告警案例:
a) 通过五元组搜索: 源IP = "xx.xx.xx.149" and 源端口 = "51346" ; 无其他设备检出
b) 通用系统命令注入攻击独报,无其他设备检出
i) GPT解读:payload中 执行id 命令, 因为命令比较简短,传统的规则不方便直接通过"id", 两个字母写规则进行匹配;否则容易匹配上很多不想关业务;GPT则是可以识别整个payload,以及其中执行的id命令【DoShellCmd "strCmd=id&"】;所以GPT对一些弱特征的攻击识别效果更好;这得益于检测GPT大模型在喂养了10-20年安全领域的数据,相较于传统的规则和引擎,能够识别的更全面;
3) GPT解读能力:原始payload通过添加【 垃圾字符 +号】做混淆,GPT解读可以还原剔除垃圾字符-混淆的GPT通过大量的数据训练和本身大模型对语言更好的理解能力,所以可以使得GPT能够很接近人一样,去识别、理解攻击混淆的payload,并还原;所以GPT 在一些高混淆的攻击检测上效果更好;payload如下:
a) GPT解读前后对比,解读后更便于分析,如下图所示:
1.7.9. 安全辅助驾驶,协助用户快速解读攻击及调查溯源
1) GPT作为生成式AI,可以对告警事件进行深层解读,详细描述攻击的原理及危害,并给出准确的处置建议。
2) 0day攻击解读举例,2024-07-26 甄云科技SSTI模版注入RCE攻击数据包解读,识别出恶意攻击。
3) 当我们需要深入调查一个潜在风险主机时,可以通过GPT的主机威胁态势调查功能,快速查询该主机最近的告警情况,提升溯源效率。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于