贫民版的SOAR----Node-red
非常感谢二胡老板的推荐,一下增加了300多人,CEO下一步可以考虑直播带货了。
既然CEO都推荐了,怎么也要写点什么才对得起推荐,也对得起关注我的人。不过自从写完了书,感觉肚子里边的墨水真有点掏干净了,所以也憋不出太多的东西。我们对团研究的一些技术方向的文章都会发在《小豹讲安全》里边,如果有兴趣的读者,也可以关注一下这个公众号。
回到正文,这次主要想说一下Node-red(简称NR) 这个东西,这个是我研究智能家居的时候接触到的一个东西,这里放两张流程图,用来处理网络出现故障进行线路切换的:
可以发现,这个东西,有点类似现在比较流行的SOAR,可以把一些防御策略做成可视化的形式。这样,每次想看一下当前的策略(或者给老板显摆一下),就可以非常直观的看到。
这东西的安装非常简单,有兴趣的朋友,可以参考官方文档进行安装即可,自带的插件也比较多,我主要用的SSH,HTTP,ELASTICSEARCH等等都有,所以,基本上也算可以满足一些场景的定义了。
不过这个东西的安全性,也需要注意,这里放一下TSRC的一篇针对NR的安全性研究的文档,写的已经很全了有兴趣的读者也可以看看 《物联网开源组件安全Node-RED白盒审计》 https://security.tencent.com/index.php/blog/msg/181
最后说一下个人对SOAR的一点看法吧,个人对这个来看,还是觉得有点花里胡哨的,主要我觉得安全对抗的本质还是人与人之间的对抗,用定义好的场景,脚本,往往可能都会处于自己跟自己玩的情况。而且,需要对规则的定义,使用,甚至结果都需要把握的非常准确,否则可能容易晚上没法好好睡觉了。而且看这类产品的核心功能应该是可以对接多少设备,能对接的设备越多,才能处理更加丰富的场景。不过如果作为常规性操作的防御的可视化来说,还是可以研究一下的。总之,个人觉得,注意力还是应该集中在对规则的掌控上,能做到精准判断,不误报,不漏报才是最好的。当然,针对这个话题,以后再慢慢写吧。
下期有感中途岛海战,谈谈安全工作中的战略和战术吧。
