安全编排自动化与响应(SOAR)解读

安全编排自动化与响应(Security Orchestration Automation and Response, SOAR)这个概念自2017年由Gartner公司提出之日起，其含义也随着行业痛点的变化而变化。起初 SOAR在2015年被Gartner定义为安全运维分析与报告（Security Operations Analytics Reporting, SOAR），这个语境下的SOAR指的是一种对利用机器读取的、有状态的安全数据提供报告、分析和管理的能力资源，为整个运营安全团队提供支持。2017年Gartner推翻自身，将运维替换为编排，这种语境下的SOAR是安全编排和自动化、安全事件响应平台、威胁情报平台这三种技术的融合，体现了多种类设备协调与威胁处置的决策能力。

SOAR技术剖析
本段将从SOAR的三个主要功能做分析。
01
安全编排和自动化
网络威胁使得各式各样的设备登上安全舞台，多种设备在形成有效防御力量的同时也加重了整体攻击事件分析的难度，各设备间的流量、规则差异性，防守人员经验多寡都可能造成各个事件无法有效关联、各个平台形成了一个个安全孤岛、无法有效的进行安全防御工作的情况。SOAR技术观察到了行业当前的技术痛点，不仅可以联动各设备，连参与者也被编入业务工作流程，将人员和技术都进行编排才能保证安全流程真正高效的运行。SOAR技术的运用能够有效的通过编排降低不同技术间、多个平台间转换需耗费的人力、时间成本。SOAR技术通过剧本将设备与设备、设备与人员、人员与人员都串联起来。启动剧本后，通过预先设定好的剧本对多类设备的返回信息进行智能整合、自动化处理、剧本内人员可以随时查看其他人员对事件的操作流程及当前事件运行状态。这样的协同机制使整个安全事件处理过程更加高效、清晰。自动化的流程也让分析人员减少每天执行的重复任务的负担，将有限的精力放在更需要生产力的地方。
值得注意的一点是，即使剧本编排再巧妙，SOAR也不是替代安全运维人员，只是减少了浪费在简单、重复任务上的时间，使他们可以利用他们的专业知识快速有效地响应事件。比如图形化的编排剧本可以让安全团队成员忽略编程的过程去更专注安全防御流程本身，而技术能力更强、经验更丰富的技术人员可以对SOAR进行定制化开发提高安全事件的响应效率。
02
安全事件响应平台
人员技术水平的差异性导致了安全事件处置效率大大不同，各部门的人员联动与协调随着网络环境的复杂度增强，人员职责细化也变得越来越困难。安全事件响应处置时，需要针对具体的事件需要选择其对应的处置方式，而在关键时刻选择合理的处置方式需要安全团队成员积累足够的经验，对人员能力要求较高。有一些比较固定的流程在里面可以经过总结形成处置经验，以往需要长时间的培养来形成人员自己的专家经验，而在SOAR中可以固化下来形成案例库，通过安全专家经验案例库形成剧本流程以响应应急事件。

除此之外，响应时间也十分重要。根据策略保护检测相应模型（Policy Protection Detection Response)，当入侵者攻击安全目标花费时间大于入侵开始到系统检测到入侵行为花费时间和发现入侵到响应完成的时间之和时，系统才被认为是安全的。SOAR技术的应用可以快速缩短从发现入侵到响应完成的平均时间，从而达到快速响应突发事件保障系统安全的目标。
03
威胁情报平台
威胁情报的信息共享是SOAR信息共享的重要机制，很多安全企业都开始建立自己的情报库，并且通过情报共享机制扩大情报库存，但威胁情报的来源越来越多，威胁信息和攻击事件情报数量也在不断攀升，如何有效整合各方的情报，如何快速判断情报的有效性与准确性也是伴随着威胁情报发展的一大问题。SOAR技术可以通过共享情报管理机制来消除情报自身带来的潜在的威胁。SOAR技术将网络资产库，专家情报库等多源情报资源进行汇聚，与可疑情报进行碰撞，大大提高了威胁情报的识别率，有效挖掘海量多维的情报库中挖掘出更多潜在的信息。这是一种对安全数据的集成分散能力，为安全团队提供经过有效验证的威胁情报。

SOAR发展及展望
SOAR技术还在不断发展，在SOAR内生性功能不断发展的同时，供应商也利用各自平台不断增加SOAR的新功能，囊括了很多SOAR提出之初不曾涉及到的领域。

国内外各大厂商也都对该技术有不同的理解和应用。IBM就将SOAR结合自身的IBM QRadar SIEM以求缩短事件响应时间。FireEye的SOAR产品Helix也被选择安放在自家SIEM处理结束后进入剧本。结合2016年大型安全操作厂商对SOAR厂商的收购趋势可以看出，规模较大的SIEM厂商或威胁情报厂商都开始通过直接收购SOAR厂商的方式来将SOAR技术融入其现有的安全操作平台当中。可以肯定的是，这条技术路径在未来将会是主流模式，且不止于与SIEM的结合，嵌入式SOAR仍是主流形势。

以金融行业SOAR实践为例，客户现场已建立起完善的安全事件运营体系，有着足够的信息与完善的处置流程，给SOAR的应用夯实了基础。在此基础上将SOAR嵌入到核心运营平台中，不但是新兴技术的探索应用更是安全工作发展的必然结果，这种安全工作演化和平台整合的趋势将越来越明显。

另外为了提高对大数据的分析能力，与人工智能算法的结合也是可行之路。经过海量多维威胁情报和案例经验库的洗礼，或许算法可以选择出正确的剧本对新型的威胁事件进行处理。或许这条技术路径还需要大量的时间与资源才可以达到理想中的效果，但始终会是一条值得尝试的道路。

结束语
人工处置水平层次不齐、安全工作单一重复、威胁情报种类众多、法律法规的严格要求等一直是安全工作的困难问题，随着SOAR人机结合的自动化处置流程将大大提高对安全事件的应对周期与效率。根据现场定制化的联动响应方式也将使其成为工作中必不可少的安全工具，通过大数据、智能算法优化剧本模型的可行性也将推动SOAR去不断的探索发展。





↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：安全编排自动化与响应(SOAR)解读