随着企业组织面临越来越多的威胁,为了能够进行快速、持续地响应,安全人员不得不与复杂操作流程以及匮乏的资源、技能和预算等做斗争。青藤云安全坦言,很多企业由于安全和运维人员短缺,更希望能够通过自动化方式而不是人工方式去执行重复任务。以勒索软件为例,为了有机会控制其在企业组织中横向渗透的威胁,企业需要能在几分钟内快速完成响应。在这样情况,企业组织只能通过将更多任务派发给机器以减少响应时间。
但是当下,以SOC为代表安全监控系统,不仅成本高昂,而且会产生大量误报。如果安全人员以手工的方式处理大量警报分类,很容易导致忽略真实且有危害的事件。减少响应时间(包括事件遏制和补救)是控制安全事件影响的最有效方法之一。虽然在各个行业威胁检测的平均时间呈下降趋势,但仍然需要很长时间。对于大多数企业来说,快速发现威胁并作出响应和补救措施仍然面临巨大挑战。
在这样的背景下,安全编排、自动化与响应(SOAR)技术的需求迎来大幅增长。SOAR出现可以解决响应过程中人员短缺、改进警报分类质量和速度、减少响应时间、降低安全人员工作压力等问题。
1.SOAR进化发展
根据Gartner预测,到2022年,有30%大型企业组织(安全团队超过5人)将在安全和运维的工作中使用SOAR,这一比例远超当下5%。当下SOAR技术的早期拥护者是那些已经拥有成熟安全运维中心,并且能够理解SOAR带来好处的那些成熟的安全组织。
2015年,可以定义为SOAR的1.0时代。Gartner将SOAR(当时被认为是“安全运维分析和报告”)描述成为安全运维团队提供机器可读的安全数据报告和分析管理功能的产品。2017年,SOAR进入2.0时代。Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语,用以描述脱胎于事件响应、安全自动化、场景管理和其他安全工具的一系列新兴平台。Gartner观察到三种以前截然不同的技术:安全编排和自动化(SOA)、安全事件响应平台(SIRPs)和威胁情报平台(TIPs),正在逐步融合到一起,如下图所示。
不同时代SOAR类别
根据Gartner2019年最新定义,SOAR是指能使企业组织从SIEM等监控系统中收集报警信息,或通过与其它技术的集成和自动化协调,提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。
这种融合到2019年仍然持续进行中。例如,在Splunk收购Phantom之后,SOAR可能会嵌入到它的SIEM中,并用于IT操作场景。SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。例如基础设施监视、应用程序性能监视和故障排除。
2.SOAR核心功能
虽然SOAR能够为安全人员提供自动化工具来提高他们的工作效率,极大增强了威胁检测和响应等活动安全效果。但是SOAR工具也并非万能“银弹”,很多人都认为它将把警报功能与防火墙、入侵检测和预防系统(IDPS)和端点保护平台(EPPs)等预防性工具集连接起来。实则不然,SOAR技术的功能是使企业组织的安全团队能够收集监控数据,例如警报,并能够实现部分自动化地进行事件分析和分类过程。这些功能目的是在帮助安全人员根据预定义的工作流,确定优先级并推动标准化的事件响应活动。就目前而言,SOAR 的三大核心技术能力分别是安全编排与自动化、安全事件响应平台、威胁情报平台。
(1)安全编排与自动化(SOA):这是SOAR的核心能力和基本能力
安全编排 (Orchestration) 是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口 (API) 和人工检查点,按照一定的逻辑关系组合到一起,用以完成某个特定安全操作的过程。
SOAR中的关键词是编排,这是在使用自动化和响应之前必须构建的关键组件。编排,就像音乐指挥家编排乐队来传递音乐一样。未来所有安全设备都会被打散成API和数据,根据数据建立指标,API则对这些数据进行操控编排。从现在市场可以看到是,以青藤云安全为代表新一代安全厂商,都采用了核心平台引擎化的技术。所谓的引擎化就是可以迅速把安全想法变成现实可用的功能,而要支撑这个能力技术就是Full API和安全编排能力。而实现安全平台引擎化包括三个核心要素:灵活的数据生成能力、机器学习能力、模型快速验证能力。
安全自动化 (Automation) 在这里特指自动化的编排过程,也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的 API 实现的,那么它就是可以自动化执行的。与自动化编排对应的,还有人工编排和部分自动化(混合)编排。
不论是自动化的编排,还是人工的编排,都可以通过剧本 (playbook) 来进行表述。而支撑剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本,SOAR 通常还提供一套可视化的剧本编辑器。
剧本是面向编排管理员的,让其聚焦于编排安全操作的逻辑本身,而隐藏了具体连接各个系统的编程接口及其指令实现。SOAR 通常通过应用 (App) 和动作 (Action) 机制来实现可编排指令与实际系统的对接。应用和动作的实现是面向编排指令开发者的。
(2)安全事件响应平台(SIR):这是SOAR的关键功能
通常,安全事件响应包括告警管理、工单管理、案件 (Case) 管理等功能。告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。
工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。
案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。
(3)威胁情报平台(TIP):这是SOAR的重要功能
威胁情报平台是通对多源威胁情报的收集、关联、分类、共享和集成,以及与其它系统的整合,协助用户实现攻击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。
此外,隔离跟修复,也是响应之后一个重要操作。包括文件隔、文件删除、进程网络隔离、进程杀死/阻塞、进程隔离和基于哈希的阻止等等。
3.SOAR部署条件
每个企业部署流程和技术并不相同,因此并不能“即插即用”,而是需要数周专业的安全服务才能完成初始化的场景部署。在早期时候,安全编排和自动化是以单点安全解决方案形式在那些预定义和自动化的工作流中工作。在准备部署实施SOAR之前,需要先拥有一组已经定义好的工作流和业务流。开箱即用和集成虽然可以实现,但是真正运行还是少不了定制化的工作。利用专业服务和内部资源的组合,为SOAR工具的实施和运行制定计划。
因此,安全编排、自动化和响应工具适合那些为提高安全处理效率而对运营流程进行了清晰又正确分层的企业组织。安全人员在决定购买SOAR之前,应该认真评估当前安全运营中效率不高的那些流程是否能够通过SOAR工具就可以得到很好提升。
基于工作业务流驱动的流程
在使用SOAR平台前必须具有定义良好的内部流程,而构建这些内部流程需要来自内部人员的技能,而这些技能在平台上是买不到的。每个事件都应该遵循一个流程来为特定的事件(通常称为剧本)构建正确的编排。在定义流程时,安全和运维人员通常会使用观察、调整、决策和行动(OODA)循环,在使用SOAR工具前也可使用这个循坏:
(1)观察事件并确定发生了什么。
(2)确定观察的方向,并添加上下文来确定观察的含义。
(3)根据业务的风险容忍度和能力决定适当的响应行动。
(4)根据决定采取行动,并应用到观察过程中,然后重复。
与OODA相关的检测流程
虽然SOAR平台能够消除现有员工当前执行的单调、重复任务的需求,但是SOAR本身并不能代替人类。SOAR技术可以帮助安全和运维团队更快地从决策点a移动到决策点B,但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。
在SOAR产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此,我们只能将SOAR应用于已经预想可能会发生的并且知道如何响应的安全场景中。有些SOAR供应商为特定的场景预定义了剧本,可以根据需求将剧本拖放到响应场景中,这在一定程度上可以帮助企业克服构建整体编排和响应操作的挑战,但这也并不是维护SOAR平台长期发挥作用的解决方案。
SOAR功效发挥除了依赖于清晰流程和丰富的预定义剧本之外,通常还需要具有特定编码和脚本技能的内部团队成员来运维SOAR平台。除了剧本和响应的维护,还需要安全人员能够提供API能力用于连接各种安全工具 (如SIEM、EDR、NGFW等)。
4.SOAR场景价值
由上文可知,SOAR是由三种技术解决方案(安全编排和自动化、威胁情报平台和事件响应平台)融合而成的概念。市场上最初并没有SOAR厂商,因此许多来自不同领域的厂商,开始从不同的角度来构建他们自己的SOAR解决方案。为此,不同SOAR提供了不同价值,主要可以分为三类:增强SIEM管理、创建更好调查平台、优化安全团队管理和流程管理。尽管这些价值可能会重叠或具有一定的包含性,但SOAR厂商如何打造推广自家SOAR价值将会影响他们的市场潜力。
SOAR价值
不管提倡哪类价值,SOAR都不是SIEM下一代,也不是取证或合规管理工具的替代者。SOAR的定义相当宽泛,因此吸引了众多厂商争夺市场领导地位。许多供应商已从他们现有的解决方案转向了SOAR提供商。因此,不同安全厂商产品有不一样价值卖点,进而可吸引不同甲方企业和不同角色的人员购买。
目前,SOAR在企业组织中最常见的使用场景是通过数字工作流方式,定义事件分析和响应过程。通过对剧本等工具有效利用,以及威胁情报在安全运维中的使用,从而增强企业组织在面临威胁时预测、防御、检测和响应能力。