安全態(tài)勢感知專家說第3期：SOAR在安全態(tài)勢感知中的應(yīng)用與展望

1 SOAR概念介紹

SOAR的概念最初是Gartner在2015年提出的，指的是“Security Operations, Analytics and Reporting Stack”，即“安全運(yùn)維分析與報(bào)告”。

隨著安全技術(shù)與市場的演變，SOAR的定義也發(fā)生了變化。近些年，國內(nèi)外安全廠商將重點(diǎn)都放在未知威脅檢測上，但隨著網(wǎng)絡(luò)對(duì)抗的日益激烈，單純提升檢測能力已滿足不了需求，客戶需要的是集識(shí)別（Identify）、防御（Protect）、檢測（Detect）、響應(yīng)（Response）和恢復(fù)（Recovery）于一體的安全防護(hù)系統(tǒng)，即“IPDRR”。在這樣的背景下，2017年Gartner將SOAR重新定義為“Security Orchestration, Automation and Response”，即“安全編排自動(dòng)化與響應(yīng)”。

Gartner認(rèn)為SOAR由三種技術(shù)融合而成，包括安全事件響應(yīng)平臺(tái)（SIRP）、安全編排與自動(dòng)化（SOA）和威脅信息平臺(tái)（TIP）。SOAR影響IPDRR的多個(gè)環(huán)節(jié)，但主要聚焦在RR（響應(yīng)和恢復(fù)）階段。

總的來說，SOAR 是一系列技術(shù)的合集，它能夠幫助企業(yè)和組織收集安全運(yùn)維團(tuán)隊(duì)檢測到的各種信息，并對(duì)這些信息進(jìn)行事件分析和告警分診。然后在劇本（Playbook）的指引下，利用人機(jī)結(jié)合的方式幫助安全運(yùn)維人員定義、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)。

2 市場分析與客戶價(jià)值

隨著全球安全產(chǎn)業(yè)的發(fā)展，SOAR在市場上逐步走向成熟，SOAR更多是作為一種能力被融入到其他安全產(chǎn)品之中，例如安全運(yùn)營中心（SOC）、安全信息和事件管理（SIEM）、托管檢測和響應(yīng)（MDR）等。在迅速成長的MDR中，SOAR就是一個(gè)關(guān)鍵的要素。而SIEM廠商一直通過收購或自建的方式構(gòu)建SOAR，以提升對(duì)事件的響應(yīng)能力。獨(dú)立的SOAR產(chǎn)品也有一定市場空間，相對(duì)于內(nèi)置的SOAR，客戶更看重其靈活性和中立性。

SOAR的客戶價(jià)值體現(xiàn)在以下幾個(gè)方面：

● 減輕告警疲勞

根據(jù)Gartner的定義，SOAR是將事件響應(yīng)、編排與自動(dòng)化、威脅信息組合在一起的一種解決方案。這些技術(shù)都曾經(jīng)以獨(dú)立產(chǎn)品的形式提供給客戶，但是過多的單點(diǎn)解決方案帶來了預(yù)算和人力上的壓力，工具的復(fù)雜性和重復(fù)性使告警疲勞進(jìn)一步加劇，而SOAR通過整合與自動(dòng)化可以有效減輕告警疲勞。

● 提升響應(yīng)速度

攻擊在環(huán)境中的進(jìn)展速度越來越快，所以發(fā)現(xiàn)疑似威脅之后僅僅發(fā)出告警和通知是遠(yuǎn)遠(yuǎn)不夠的，客戶期望安全服務(wù)能夠快速地主動(dòng)遏制和消減威脅對(duì)環(huán)境的破環(huán)，SOAR正是在主動(dòng)響應(yīng)和處置方面發(fā)揮了重要作用。

● 提升安全運(yùn)營效率以及事件閉環(huán)率

通過編排，SOAR將調(diào)查取證、處置、通知等多個(gè)環(huán)節(jié)整合在一個(gè)工作流里，自動(dòng)化調(diào)度運(yùn)行，減少了運(yùn)營人員在不同工具之間來回切換的消耗。面對(duì)日益增多的威脅，SOAR的自動(dòng)化能力有助于提升整體安全運(yùn)營效率。

● 積累安全運(yùn)營經(jīng)驗(yàn)

通過劇本編排，可以將威脅處置的過程轉(zhuǎn)變?yōu)楣ぷ髁鞑⒂涗洷４?，借此?shí)現(xiàn)安全運(yùn)營經(jīng)驗(yàn)的積累和固化。案例集是對(duì)歷史處置的歸納及特征補(bǔ)充，可供安全專家參考分析。

● 提升整合能力

SOAR能夠把環(huán)境中現(xiàn)存的安全產(chǎn)品整合在一起，實(shí)現(xiàn)人機(jī)、機(jī)機(jī)之間的有效協(xié)作。SOAR能夠更充分地使用威脅信息系統(tǒng)，使其發(fā)揮更大的價(jià)值。

● 提升需求滿足敏捷度

在硬編碼模式下，客戶新業(yè)務(wù)的需求往往要依賴版本升級(jí)才能夠?qū)崿F(xiàn)， 在內(nèi)部部署（OP）場景下版本迭代周期長，客戶滿意度難以得到保障。而SOAR與生俱來的低代碼編排能力賦予了系統(tǒng)開放性的特征，安全運(yùn)營團(tuán)隊(duì)很容易就能實(shí)現(xiàn)工作流創(chuàng)建和改進(jìn)，幫助客戶實(shí)現(xiàn)需求變化敏捷落地。

此外，SOAR的作用在安全托管服務(wù)中體現(xiàn)的尤為明顯，因?yàn)樗梢燥@著提升威脅處置的速度和一致性，從而提升服務(wù)級(jí)別協(xié)議（SLA）規(guī)定的服務(wù)水平。

3 SOAR關(guān)鍵能力分析

從功能的角度看，SOAR具有如下核心能力：

告警分類和優(yōu)先級(jí)定義：

該功能方便運(yùn)營團(tuán)隊(duì)聚焦在會(huì)對(duì)組織產(chǎn)生重大影響或破壞力的威脅告警上，減輕告警疲勞。

案例集管理和協(xié)作：

案例集是對(duì)過往響應(yīng)處置的經(jīng)驗(yàn)積累，可供安全分析師參考，提升分析效率。結(jié)合特征抽取及機(jī)器學(xué)習(xí)等技術(shù)可實(shí)現(xiàn)劇本自動(dòng)推薦等高級(jí)能力。

編排和自動(dòng)化：

編排和自動(dòng)化將不同的安全工具協(xié)調(diào)整合在一個(gè)流程里并自動(dòng)化運(yùn)行，顯著提升了運(yùn)營效率，降低了威脅對(duì)環(huán)境產(chǎn)生的影響。SOAR需要提供直觀的UI工具，用以輕松編排和設(shè)計(jì)劇本，還需要具有與廣泛已知及未知的安全產(chǎn)品集成的能力，比如防火墻、終端、沙箱、郵件短信網(wǎng)關(guān)等等。

威脅信息調(diào)查：

威脅信息調(diào)查服務(wù)通過威脅信息庫為威脅判定提供取證信息，從而提升事件處置的準(zhǔn)確率。這個(gè)過程可以被編排在工作流中，并根據(jù)取證結(jié)果決定后續(xù)的最佳處置方式。

另外，從架構(gòu)的角度來看，通過冗余和彈性擴(kuò)容等方式可保障SOAR的高可靠可用性，充分關(guān)注編排執(zhí)行的性能，提供完善的權(quán)限管理，支持在OP場景和云上流通部署等。

4 SOAR在HiSec Insight中的實(shí)踐

HiSec Insight是華為公司推出的安全態(tài)勢感知產(chǎn)品，形態(tài)上接近SIEM類產(chǎn)品。HiSec Insight基于大數(shù)據(jù)平臺(tái)，集威脅檢測、威脅阻斷、取證、溯源、響應(yīng)、處置于一體，助力客戶完成全流程威脅事件閉環(huán)。

HiSec Insight的閉環(huán)能力得益于在2019年產(chǎn)品就集成了自研的SOAR組件。憑借SOAR的引入，HiSec Insight的事件處置周期能夠由天級(jí)縮短到分鐘級(jí)，平均恢復(fù)時(shí)間（MTTR）大幅降低，同時(shí)事件閉環(huán)率和處置率也得到顯著提升。

另外，HiSec Insight能夠作為連續(xù)兩年入選Gartner MQ象限唯一的中國產(chǎn)品，其中一個(gè)因素就是產(chǎn)品包含了響應(yīng)與編排能力，因此SOAR的重要性不言而喻。

下圖展示了HiSec Insight SOAR的基本架構(gòu)。

● 數(shù)據(jù)采集

HiSec Insight可以采集鏡像流量和多種格式安全日志，通過預(yù)處理加工后，數(shù)據(jù)被發(fā)送到數(shù)據(jù)總線供威脅檢測模塊進(jìn)行分析。

● 威脅分析

威脅分析引擎通過關(guān)聯(lián)分析、人工智能檢測、威脅判定等技術(shù)手段發(fā)現(xiàn)威脅事件，并完成事件分類和優(yōu)先級(jí)設(shè)置。此時(shí)如果有就緒的劇本與事件匹配，SOAR便會(huì)第一時(shí)間介入，按劇本流程啟動(dòng)對(duì)事件的處置。

● 事件管理

在HiSec Insight中事件管理屬于獨(dú)立的服務(wù)，主要提供事件查詢和管理的能力。在事件管理中，用戶可以選擇特定的聚合事件，以手動(dòng)的方式選取劇本進(jìn)行編排處置。

● 編排管理

編排管理包含響應(yīng)動(dòng)作配置和劇本配置兩個(gè)模塊。

動(dòng)作配置用于完成對(duì)安全工具的App封裝，包括認(rèn)證方式、訪問憑證、訪問地址等設(shè)備配置信息，以及對(duì)工具API接口的Action封裝。HiSec Insight預(yù)置了大量的安全設(shè)備類型（以華為設(shè)備為主）和響應(yīng)動(dòng)作的配置，也提供了與第三方設(shè)備對(duì)接的配置能力。

劇本配置提供劇本編輯和劇本管理功能。HiSec Insight SOAR提供了可視化的劇本編輯工具，允許用戶以拖拽的方式完成劇本的創(chuàng)作。工具采用了業(yè)界主流的縱向排版方式，內(nèi)置了響應(yīng)動(dòng)作、過濾、條件判斷、聚合、人工決策、數(shù)據(jù)格式化等多種節(jié)點(diǎn)，并逐漸補(bǔ)充了子流程嵌套、循環(huán)等能力。

通過預(yù)置的大量劇本和Action，HiSec Insight將積累的安全經(jīng)驗(yàn)傳遞給客戶，并為客戶提供“開箱即用”的能力。

● 自動(dòng)化執(zhí)行

HiSec Insight SOAR提供了自動(dòng)觸發(fā)和手動(dòng)觸發(fā)劇本執(zhí)行的兩種方式。自動(dòng)執(zhí)行劇本通過匹配事件類型的方式觸發(fā)，手動(dòng)執(zhí)行由用戶選擇適當(dāng)?shù)膭”具M(jìn)行事件處置。

劇本運(yùn)行的過程中，執(zhí)行引擎會(huì)調(diào)用威脅信息系統(tǒng)進(jìn)行取證判斷，根據(jù)取證結(jié)果決定后續(xù)流程。通過前面的敘述我們可以了解到，編排的關(guān)鍵是對(duì)不同安全工具的調(diào)用，這部分也是通過編排執(zhí)行引擎實(shí)現(xiàn)的。HiSec Insight SOAR根據(jù)動(dòng)作管理的配置完成與各種安全工具、系統(tǒng)和服務(wù)的對(duì)接，包括用戶的第三方設(shè)備。

● 案例管理

劇本執(zhí)行的結(jié)果會(huì)形成task用以歸檔查看。同一類型事件的task自動(dòng)匯聚形成案例集，用于輔助安全專家做參考分析。

5 HiSec Insight SOAR的未來展望

支持云上部署已經(jīng)成為SIEM類產(chǎn)品的發(fā)展趨勢，SOAR作為核心組件也將迎來云化改造。為了支撐上云后業(yè)務(wù)規(guī)模的動(dòng)態(tài)增長，SOAR在架構(gòu)上需要支持平滑擴(kuò)容等云原生特性。

上云后，SOAR需要具備完整的多租戶能力，包括劇本和聯(lián)動(dòng)設(shè)備的租戶級(jí)管理、劇本執(zhí)行記錄和案例的分租戶查看等等。利用云上的威脅信息服務(wù)，SOAR調(diào)查取證準(zhǔn)確率將得到進(jìn)一步提升，同時(shí)威脅信息服務(wù)的價(jià)值也可以得到更加充分的發(fā)揮。

SOAR在未來會(huì)提供完善的三方集成框架，設(shè)備或服務(wù)將以App插件的形式動(dòng)態(tài)地集成到SOAR上。由于App封裝了與設(shè)備聯(lián)動(dòng)的復(fù)雜邏輯，用戶的配置難度將會(huì)大幅降低，SOAR與三方集成的能力也會(huì)顯著增強(qiáng)，有利于形成以HiSec Insight為主的生態(tài)環(huán)境。

6 結(jié)束語

網(wǎng)絡(luò)攻防對(duì)抗日趨激烈，客戶環(huán)境時(shí)時(shí)刻刻都要面對(duì)海量攻擊的威脅，唯有提升自動(dòng)化檢測、響應(yīng)與恢復(fù)能力，才能為客戶提供有效的安全防護(hù)，保證核心業(yè)務(wù)的平穩(wěn)運(yùn)行。然而自動(dòng)化只是一種手段，SOAR也只是一個(gè)工具，由工具所承載的安全運(yùn)營經(jīng)驗(yàn)才是決定最終落地效果的關(guān)鍵。因此從SOAR的角度看，一方面要提供高質(zhì)量的預(yù)置能力，包括預(yù)置編排劇本和預(yù)置設(shè)備配置等，力爭以開箱即用的方式解決客戶現(xiàn)場80%以上的問題。另一方面要增強(qiáng)內(nèi)功，提升編排靈活性和易用性、執(zhí)行引擎的穩(wěn)定性和效率，同時(shí)具備強(qiáng)大的三方集成能力，幫助安全團(tuán)隊(duì)高效地利用工具，通過人機(jī)協(xié)同實(shí)現(xiàn)高效、智能的安全運(yùn)營。

參考文獻(xiàn)： Lawson C, Price A. Market guide for security orchestration, automation and response solutions[R]. Technical Report. Gartner, 2022.