IT自动化安全运维平台解决方案

IT自动化安全运维平台解决方案整理制作：郎丰利1519制作时间：2023年睿利而行整理制作：郎丰利1519制作时间：2023年睿利而行整理制作：郎丰利1519制作时间：2023年睿利而行2023年内容企业日常安全运维遇到的挑战CASK平台如何帮助企业实现自动化安全运维自动化场景举例国产安全产品适配CASK平台与传统方案相比有什么区别?日益增长的告警每次告警难以响应分析人员缺乏2百万安全专业人才缺口没有统一流程的安全响应缺乏量化指标，处理问题只能通过电话或者邮件沟通安全产品整合难整合复杂性高，需要专门的开发团队数据结构多样不同产品有不同数据，无法直接连通数据共享难不同产品位于不同的安全控制点，最早发现威胁的设备无法实时共享情报到其他安全控制节点。联动流程复杂要设计一系列安全动作要穿插大量不同产品，沉没在技术细节中安全运维面临的挑战DATALAKES,SIEMs越多的安全产品，联动的复杂性越高THREATPLATFORMS&ANALYTICSORCHESTRATIONOTHERSIEMsOTHERDATALAKES3rdPARTIESINCONSISTENTAPIs漏洞扫描安全Web网关上网行为管理网络流量分析主机加固端点安全IDS/IPS防火墙高级威胁防护邮件安全网关数据防泄漏整合所有安全产品，统一快速的调度DATALAKES,SIEMsTHREATPLATFORMS&ANALYTICSORCHESTRATIONOTHERSIEMsOTHERDATALAKES3rdPARTIESAPIs漏洞扫描安全Web网关上网行为管理网络流量分析主机加固端点安全CASK平台IDS/IPS防火墙高级威胁防护邮件安全网关数据防泄漏CASK的工作方式自动执行动作行为阻断策略应用启用查杀告警通知合规部门安全运维人员事件回溯排查验证事件目录事件联动编排Syslog告警和事件1234SIEM进一步的分析预置自动处理事件和安全操作的适配支持主流事件接口,事件约束,数十种安全产品的联动安全指标跨历史数据关联及分析自动发现安全指标（IOC）事件处理的SLA跟踪和指标衡量证据收集和归档符合监管及合规需求实时协助和流程转移实时交互和专业工具所有的调查动作自动生成文档实时交互分析安全事件管理安全场景式自动化综合威胁管理CASK自动化安全运维平台事件驱动安全运维中心API安全运维中心基础架构数据湖,SIEM自动化编排分析事件告警动作执行CASK标准化过滤路由适配器PARSERS连接器消息推送和订阅历史数据CASK在安全运维中心（SOC）框架中的位置各安全产品漏洞扫描网关代理流量分析高级威胁邮件网关数据防泄漏主机加固端点安全防火墙数据存储威肋分析通知告警联动动作确定的行为待定的行为事件驱动架构安全运维人员互动确定的场景事件待定的事件事件代理事件分类账EHEHEHEHEHEHEH=EventHandler事件处理程序事件驱动的安全自动联动防火墙阻断终端防护隔离邮件网关拦截SIEM分析威胁情报匹配安全专家响应安全事件发生事件-响应-通知-人工处理各安全产品和设备产生安全事件主平台运行在云端

或者本地服务器上对外部资源

进行关联整合自动让人或者

安全设备实时响应APP下发响应确认CASK的事件驱动架构实现连接适配器事件目录集合安全产品事件Alert/Log/Message事件流程编排低代码的VAIL编辑客户端响应流程编排响应的安全产品网页应用手机应用实时的、事件驱动的安全联合应用关联整合规则、最佳经验、约束条件、业务需求事件类

数据流防火墙端口暴露警报宿主或网络异常流量后门和木接终端安全产品的事件系统间的攻击黑名单URL的访问代理解析出恶意链接其他涌现的威胁事件实时的

响应防火墙阻断终端防护隔离主机对终端全盘查杀分配临时备用资源邮件网关阻止发信所在网络独立VLAN应用服务关闭连接APP下发核准表单实时的

事件驱动的

联动引擎扫描探针业务系统网关路由某著名企业设备CASK平台带来的收益减少平均修复时间(MTTR)30%统一的事件管理流程和衡量指标通过自动化联动将有确定威胁的事件自动下发策略从不同网络层同时监控，快速定位威胁减少告警量–客户在部署了CASK后，每警数量（需要人工审核的告警）从10000减少到50095%提供自动化的安全运营，提升安全运维的效率充分发挥现有安全产品的能力开源社区的支持开源的适配器和工具集成可复用的流程编排模版来自全球的安全专家❌场景1.威胁流量触发的多产品联动FW发现有威胁流量的产生下发指令给SEPMSEPM令事件主机执行全盘查杀SEPM令事件主机隔离CP令事件主机与外网断连令WAF对事件主机服务降级122324INTERNETWEBAPPDB…事件主机CASK场景2.自动的网站防护策略应用漏洞扫描在环境中自动扫描漏洞扫描发现有未防护的漏洞生成防护策略模板，在WAF上应用让漏洞扫描再执行一次，确认漏洞已经修复123WEBAPPDB…CASK场景3.多级网络下的数据库安全防护用户2从VPN登录内网用户1在内网直接通过堡垒机连DB再由堡垒机操作DB用户登录VPN的事件向OA询问操作权限✔OA都给予了危险操作特权危险操作事件允操作🚫🚫因DBF策略危险操作无法进行因用户是VPN登录，不可使用OA给予的权限12345123554WEBAPPDB…BYODUSERSINTERNALUSERSOADB…ImpervaDBFCASK场景4.威胁情报库支持的联动TIDECheckpointFirewall❌❌InfobloxDNSFirewallC&C服务器从TIDE同步多种安全产品的威胁情报1向远程恶意服务发起请求2DNS将解析请求日志上报3日志命中多项高危情报4将命中情报和动作建议发送专家确认5在各级安全产品上阻止连接6CASK安全专家某著名企业App被感染主机INTERNET场景5.自动化批量修改多台不同品牌的防火墙策略CASKOADB…提交防火墙策略变更申请批准消息推送至CASK领导批准变更请求CASK抓取工单内容CASK在指定时间点批量操作多台不同品牌的防火墙品牌A防火墙集群品牌B防火墙集群WebPortal展示&手机App展示国产安全产品适配CASK的工作方式适配国产安全产品自动执行动作行为阻断策略应用启用查杀告警通知合规部门安全运维人员事件回溯排查验证事件目录事件联动编排Syslog告警和事件1234SIEM进一步的分析CASK平台支持的对接方式适配各种产品、系统HTTPRESTfulAPI接口MQTT消息AMQP消息Kafka消息其他：UDP、OPC-UA、JDBC、JMS、log文件抓取等CASK与传统解决方案的区别事件驱动-响应速度快数据库数据请求响应存储检索l数据源或服务251346操作2事件驱动

应用程序处理&分析1流式数据源传统应用程序逻辑处理分析操作?开发小型项目，使用CASK平台的前后对比之前5种以上的开发工具或者平台5名以上的专业开发工程师1,000行以上的代码编程3个月的开发和部署时间完整团队参与持续维护12345敏捷开发、快速迭代之后CASK平台2名开发人员~100行左右的代码编程2的开发和部署时间~1周/月的维护工作12345>10x生产力提升CASK是一个高生产力的aPaaS平台，基于此平台的开发人员指定的是业务逻辑，而不是底层的实现细节。这被称为低代码。

在需求定义阶段，需求方和开发人员共同定义事件和所需的操作。

由此，CASK自动创建软件应用程序的基础或开端。CASK平台的可视化工具用于添加完成应用程序所需的分析、协作和附加服务。

CASK平台包含了