SOAR的概念最初是Gartner在2015年提出的,指的是“Security Operations, Analytics and Reporting Stack”,即“安全运维分析与报告”。
随着安全技术与市场的演变,SOAR的定义也发生了变化。近些年,国内外安全厂商将重点都放在未知威胁检测上,但随着网络对抗的日益激烈,单纯提升检测能力已满足不了需求,客户需要的是集识别(Identify)、防御(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)于一体的安全防护系统,即“IPDRR”。在这样的背景下,2017年Gartner将SOAR重新定义为“Security Orchestration, Automation and Response”,即“安全编排自动化与响应”。
Gartner认为SOAR由三种技术融合而成,包括安全事件响应平台(SIRP)、安全编排与自动化(SOA)和威胁信息平台(TIP)。SOAR影响IPDRR的多个环节,但主要聚焦在RR(响应和恢复)阶段。
总的来说,SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队检测到的各种信息,并对这些信息进行事件分析和告警分诊。然后在剧本(Playbook)的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。
随着全球安全产业的发展,SOAR在市场上逐步走向成熟,SOAR更多是作为一种能力被融入到其他安全产品之中,例如安全运营中心(SOC)、安全信息和事件管理(SIEM)、托管检测和响应(MDR)等。在迅速成长的MDR中,SOAR就是一个关键的要素。而SIEM厂商一直通过收购或自建的方式构建SOAR,以提升对事件的响应能力。独立的SOAR产品也有一定市场空间,相对于内置的SOAR,客户更看重其灵活性和中立性。
SOAR的客户价值体现在以下几个方面:
● 减轻告警疲劳
根据Gartner的定义,SOAR是将事件响应、编排与自动化、威胁信息组合在一起的一种解决方案。这些技术都曾经以独立产品的形式提供给客户,但是过多的单点解决方案带来了预算和人力上的压力,工具的复杂性和重复性使告警疲劳进一步加剧,而SOAR通过整合与自动化可以有效减轻告警疲劳。
● 提升响应速度
攻击在环境中的进展速度越来越快,所以发现疑似威胁之后仅仅发出告警和通知是远远不够的,客户期望安全服务能够快速地主动遏制和消减威胁对环境的破环,SOAR正是在主动响应和处置方面发挥了重要作用。
● 提升安全运营效率以及事件闭环率
通过编排,SOAR将调查取证、处置、通知等多个环节整合在一个工作流里,自动化调度运行,减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁,SOAR的自动化能力有助于提升整体安全运营效率。
● 积累安全运营经验
通过剧本编排,可以将威胁处置的过程转变为工作流并记录保存,借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充,可供安全专家参考分析。
● 提升整合能力
SOAR能够把环境中现存的安全产品整合在一起,实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统,使其发挥更大的价值。
● 提升需求满足敏捷度
在硬编码模式下,客户新业务的需求往往要依赖版本升级才能够实现, 在内部部署(OP)场景下版本迭代周期长,客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征,安全运营团队很容易就能实现工作流创建和改进,帮助客户实现需求变化敏捷落地。
此外,SOAR的作用在安全托管服务中体现的尤为明显,因为它可以显著提升威胁处置的速度和一致性,从而提升服务级别协议(SLA)规定的服务水平。
从功能的角度看,SOAR具有如下核心能力:
该功能方便运营团队聚焦在会对组织产生重大影响或破坏力的威胁告警上,减轻告警疲劳。
案例集是对过往响应处置的经验积累,可供安全分析师参考,提升分析效率。结合特征抽取及机器学习等技术可实现剧本自动推荐等高级能力。
编排和自动化将不同的安全工具协调整合在一个流程里并自动化运行,显著提升了运营效率,降低了威胁对环境产生的影响。SOAR需要提供直观的UI工具,用以轻松编排和设计剧本,还需要具有与广泛已知及未知的安全产品集成的能力,比如防火墙、终端、沙箱、邮件短信网关等等。
威胁信息调查服务通过威胁信息库为威胁判定提供取证信息,从而提升事件处置的准确率。这个过程可以被编排在工作流中,并根据取证结果决定后续的最佳处置方式。
另外,从架构的角度来看,通过冗余和弹性扩容等方式可保障SOAR的高可靠可用性,充分关注编排执行的性能,提供完善的权限管理,支持在OP场景和云上流通部署等。
HiSec Insight是华为公司推出的安全态势感知产品,形态上接近SIEM类产品。HiSec Insight基于大数据平台,集威胁检测、威胁阻断、取证、溯源、响应、处置于一体,助力客户完成全流程威胁事件闭环。
HiSec Insight的闭环能力得益于在2019年产品就集成了自研的SOAR组件。凭借SOAR的引入,HiSec Insight的事件处置周期能够由天级缩短到分钟级,平均恢复时间(MTTR)大幅降低,同时事件闭环率和处置率也得到显著提升。
另外,HiSec Insight能够作为连续两年入选Gartner MQ象限唯一的中国产品,其中一个因素就是产品包含了响应与编排能力,因此SOAR的重要性不言而喻。
下图展示了HiSec Insight SOAR的基本架构。
● 数据采集
HiSec Insight可以采集镜像流量和多种格式安全日志,通过预处理加工后,数据被发送到数据总线供威胁检测模块进行分析。
● 威胁分析
威胁分析引擎通过关联分析、人工智能检测、威胁判定等技术手段发现威胁事件,并完成事件分类和优先级设置。此时如果有就绪的剧本与事件匹配,SOAR便会第一时间介入,按剧本流程启动对事件的处置。
● 事件管理
在HiSec Insight中事件管理属于独立的服务,主要提供事件查询和管理的能力。在事件管理中,用户可以选择特定的聚合事件,以手动的方式选取剧本进行编排处置。
● 编排管理
编排管理包含响应动作配置和剧本配置两个模块。
动作配置用于完成对安全工具的App封装,包括认证方式、访问凭证、访问地址等设备配置信息,以及对工具API接口的Action封装。HiSec Insight预置了大量的安全设备类型(以华为设备为主)和响应动作的配置,也提供了与第三方设备对接的配置能力。
剧本配置提供剧本编辑和剧本管理功能。HiSec Insight SOAR提供了可视化的剧本编辑工具,允许用户以拖拽的方式完成剧本的创作。工具采用了业界主流的纵向排版方式,内置了响应动作、过滤、条件判断、聚合、人工决策、数据格式化等多种节点,并逐渐补充了子流程嵌套、循环等能力。
通过预置的大量剧本和Action,HiSec Insight将积累的安全经验传递给客户,并为客户提供“开箱即用”的能力。
● 自动化执行
HiSec Insight SOAR提供了自动触发和手动触发剧本执行的两种方式。自动执行剧本通过匹配事件类型的方式触发,手动执行由用户选择适当的剧本进行事件处置。
剧本运行的过程中,执行引擎会调用威胁信息系统进行取证判断,根据取证结果决定后续流程。通过前面的叙述我们可以了解到,编排的关键是对不同安全工具的调用,这部分也是通过编排执行引擎实现的。HiSec Insight SOAR根据动作管理的配置完成与各种安全工具、系统和服务的对接,包括用户的第三方设备。
● 案例管理
剧本执行的结果会形成task用以归档查看。同一类型事件的task自动汇聚形成案例集,用于辅助安全专家做参考分析。
支持云上部署已经成为SIEM类产品的发展趋势,SOAR作为核心组件也将迎来云化改造。为了支撑上云后业务规模的动态增长,SOAR在架构上需要支持平滑扩容等云原生特性。
上云后,SOAR需要具备完整的多租户能力,包括剧本和联动设备的租户级管理、剧本执行记录和案例的分租户查看等等。利用云上的威胁信息服务,SOAR调查取证准确率将得到进一步提升,同时威胁信息服务的价值也可以得到更加充分的发挥。
SOAR在未来会提供完善的三方集成框架,设备或服务将以App插件的形式动态地集成到SOAR上。由于App封装了与设备联动的复杂逻辑,用户的配置难度将会大幅降低,SOAR与三方集成的能力也会显著增强,有利于形成以HiSec Insight为主的生态环境。
网络攻防对抗日趋激烈,客户环境时时刻刻都要面对海量攻击的威胁,唯有提升自动化检测、响应与恢复能力,才能为客户提供有效的安全防护,保证核心业务的平稳运行。然而自动化只是一种手段,SOAR也只是一个工具,由工具所承载的安全运营经验才是决定最终落地效果的关键。因此从SOAR的角度看,一方面要提供高质量的预置能力,包括预置编排剧本和预置设备配置等,力争以开箱即用的方式解决客户现场80%以上的问题。另一方面要增强内功,提升编排灵活性和易用性、执行引擎的稳定性和效率,同时具备强大的三方集成能力,帮助安全团队高效地利用工具,通过人机协同实现高效、智能的安全运营。
参考文献 :
Lawson C, Price A. Market guide for security orchestration, automation and response solutions[R]. Technical Report. Gartner, 2022.
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...