别慌,这回你有SOAR——关于PyPI仓库遭投毒事件的自动化应急响应

SOAR是Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注(www.faw-mazda6.com)。

前情

还记得之前的Putty后门、XShell后门以及XCode Ghost事件吗?

当时,腾讯安全应急响应中心及时发布安全通知【PyPI 官方仓库遭遇request恶意包投毒】,将业界视角重新拉回【软件供应链安全】这一关键领域。

以下为引用:

“近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSRC在此建议各开源镜像站以及对开源镜像站有依赖的公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。”

是的,应急响应的警报拉响了!如今,有无数的企业在使用Python开发,大量的Linux发行版都在使用Python。而开发者惯用的仓库PyPI更是所有Python开发者离不开的基础仓库。一旦它被投毒,影响巨大……

作为国内领先的SOAR产品厂商,上海雾帜智能科技有限公司第一时间嗅到了应急响应的气味,并组织安全专家以最快速度拿出了软件供应链安全应急响应剧本,帮助我们的客户加速应对突发事件。

响应

打怪靠装备,应急响应得靠HoneyGuide!雾帜智能安全专家在收到腾讯安全应急响应中心发布的安全通告后,立即开展了分析研判,其中重点情报如下:

基于此,雾帜专家迅速拟定应急响应策略,如下:

  • 先止血:第一时间阻止域名解析或解析到指定服务器
  • 同步查存:查询企业内部是否有中招的终端
  • 查询过往的DNS解析日志
  • 查询防火墙会话列表历史记录,匹配CC服务器IP地址
  • 查询上网行为管理系统中恶意URL的访问记录
  • 根治:排查企业Python库是否受感染
  • 监控:对重点域名、IP进行访问监控或拦截
  • 通知:人员通知、修复通知、培训通知等

在没有自动化应急响应工具的情况下,企业可以依据上述思路开展人工排查。如果已经部署了SOAR解决方案产品HoneyGuide,则可以通过剧本编排的方式进行快速响应。

q安全剧本编排

正式启动剧本编排前,需要对安全响应过程中的每个环节进行能力识别,判定出要在哪个系统或工具上执行哪些动作,如下图所示:

企业可以根据上述梳理的安全动作以及对应的能力,通过SOAR产品进行安全剧本的编排。当然SOAR产品需要提前完成对上述能力的调度支持(HoneyGuide目前已经支持100+国内外主流安全产品、系统或设备的能力对接)。

以雾帜智能公司自己的环境为例,我们使用了阿里云、DNSmasq、微步OneDNS、钉钉等产品完成了一个小规模的应急响应剧本编排,如下图所示:

注:其中针对PY库感染情况的检查可能需要人工操作,所以安全剧本中增加了人工节点。

上述剧本可以将原来需要多人在岗在线花费数个小时才能完成的应急响应工作缩短为几十分钟,甚至更短的时间,从而大幅提升响应速度,降低人力成本。同时,剧本一旦编写完成就可以反复使用,未来同类场景可以持续实现降本增效,增强企业整体安全能力。

关于雾帜智能、HoneyGuide

雾帜智能

作为国内SOAR(安全编排、自动化与响应)领域持续创新的优秀企业。自成立以来,一直为网络安全事业发展做出贡献,得到运营商、能源、互联网、烟草、证券、银行等行业客户的熟知和好评,同时也得到业内同行高度关注与认可。推向市场的HoneyGuide智能风险决策平台专注于将人工智能+安全编排自动化与响应(AI+SOAR)完美融合,帮助客户实现缩短威胁处置时间、加速安全响应、减少IT风险 、降本增效等,从而更好的进行业务经营。

HoneyGuide

用“AI机器人” 和“安全作战室” ,解决人人、人机的协同问题;用“安全剧本”对应急响应中的人员、设备、动作和环节进行自组装,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide在“自然语言交互”、“安全动作推荐”和“安全剧本智能优化”等方面了引入了人工智能因素。通过在关键环节使用AI技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

主营产品:提升机构,智能提升设备,洁净提升系统,工业起重系统,标准起重系统