SOAR 是 2019 年安全市场上最火热的词汇之一。特别是下半年以来,各大安全媒体以及各个厂商都开始频繁地发表 SOAR 概念相关的文章。在 2019 年 12 月举办的第四届的北向峰会上,SOAR 也被参会者投票评选为关注度排名第二的威胁与安全举措,仅次于数据安全和治理。
SOAR 为什么突然这么火热?很大程度上是因为 2019 年的 HW 运动。在为期接近一个月的 HW 工作中,所有参与的甲方和乙方都为之殚精竭虑、身心俱疲。再加上未来 HW 实战化、常态化的发展方向,每个参与方都有深深的焦虑感。如何缓解这种焦虑?除了做扎实安全治理的每一项基本功以外,是否有什么新思路、新技术的发展能够帮助到大家?SOAR 正是在这个方向上被寄予了厚望。
纵观国际市场,SOAR 也是近几年发展势头非常迅猛的一个细分安全方向,Startup 公司如雨后春笋,其中的佼佼者 Phantom Cyber 以黑马姿态拿到了 2016 年 RSA 创新沙盒大赛第一名,并于 2018 年被 Splunk 以 3.5 亿美元收购。不只是 Splunk,各大安全厂商从 4 年前就开始争相布局 SOAR 技术,这一点从近几年的 SOAR 并购案例可见一斑:
那么,到底什么是 SOAR?2015 年 Gartner 首次提出了 SOAR 的概念,最初的定义是 Security Operations, Analytics and Reporting,即安全运维分析与报告。在 2017 年 Gartner 对 SOAR 概念做了重新定义:Security Orchestration, Automation and Response, 即安全编排、自动化与响应,这才是现在广泛关注的 SOAR 的概念。
Gartner 对 SOAR 技术的描述是:
SOAR refers to technologies that enable organizations to collect inputs monitored by the security operations team. For example, alerts from SIEM and other security technologies, where incident analysis and triage can be performed, leverage a combination of human and machine power to help define,prioritize and drive standardized incident response activities according to a standard workflow. SOAR tools allow an organization to define incident analysis and response procedures in a digital workflow format.
—Gartner: Emerging Technology Analysis: SOAR Solutions, 2018
翻译为:SOAR 指的是一种技术,它使企业收集安全运营团队所关注的输入,比如说,源自 SIEM 和其他安全技术的告警。并且此安全技术可进行事件分析与分类,综合运用人类分析师和计算机的处理能力来帮助定义、排序和驱动按标准工作流程执行的安全事件响应活动。企业可使用 SOAR 工具来数字化的定义事件分析与响应工作流程。
这段描述读起来非常拗口,理解起来也颇为费力。瀚思科技基于以往大量的以 SIEM、态势感知项目为基础的安全运营实践经验,总结出来我们所主张的 SOAR 的核心理念:
这张图以文字解读起来是:
使用编排技术将企业的安全运营流程数字化管理;
编排的元素包含了人工操作与自动化执行两部分,编排的结果是一系列的Playbook(预案)。Playbook执行中可以使用类似工单的技术驱动责任人与状态的流转,执行结果可以保存为知识库、案例库;
其中的人工操作包括但不限于:安全事件的鉴别、调查取证、响应处置、判断决策;
其中的自动化执行包括但不限于:通过与外部设备/系统的集成,自动化完成安全事件上下文丰富化、持续追踪、联动处置。
在讲了 SOAR 的本质,SOAR 是什么之后,我们还要注意 SOAR 不是什么。很多时候在谈到 SOAR 时,我们都把目光投向了可视化编排技术。但要注意的是,编排不是 SOAR 的目的,是手段。SOAR 的目的,是服务于安全运营流程。第二,SOAR 不是代替人,他是用来帮助人提升效率,更快更好的,更标准化更自动化的执行处置与决策流程。
所以,我们强调了多次,SOAR 是服务于安全运营的。那么什么是安全运营流程?安全运营流程为什么需要 SOAR?
Gartner 用 OODA 模型,来描绘一个典型的安全运营流程。OODA 即 Observe(观察)、Orient(调整)、Decide(决策)、Act(行动)。
- 观察:即通过各种检测、分析工具,比如 SIEM 类工具,找到威胁线索,如告警。
- 调整:即对产生的告警的内容做调查、丰富化。比如查找外网域名的威胁情报,查找此 IP 的历史行为协助研判等等。
- 决策:即判定是否需要对此告警采取行动,比如是否需要封禁,是否影响业务,是否需要进一步观察。
- 行动:即执行确定的安全策略,并验证。每一步都对下一步提供了指导,周而复始,构成了一个良性促进的进化循环,不断优化企业的安全运营流程以应对不断变化的安全威胁。
OODA 环看起来逻辑清晰,易于操作。但事实上, OODA 环里的丰富化、调查取证、验证、执行安全策略变更等等,都是耗时耗力的工作。加上安全设备一直以来的误报问题产生的噪音,以及安全人员工作负荷重,资深从业人员短缺等原因,难以真正有效的推进 OODA 循环。更不用提在 HW 时段高强度的工作压力下,如何能够有条不紊的保持一贯的处置流程来处理每一个安全线索。
这不是我们独有的问题,这是全球安全界共同面对的问题。SOAR 正是在这个背景下被提出,并被寄予厚望。SOAR 的核心,就是将安全流程或预案,即 OODA 循环的每一个实例,比如蠕虫爆发处理流程、挖矿病毒告警处理流程、疑似钓鱼邮件处理流程等等,数字化管理起来形成 Playbook。用自动化完成其中所有可能自动化的动作,无法自动的仍然交由人来处理,通过可视化编排工具将人、技术和流程有机的结合起来,形成标准统一的、可重复的、更高效的安全运营流程。
于此之上,SOAR所能带来的价值有:
1、缩短响应时间
通过自动化技术,尽可能多的自动完成一个安全事件处置流程中相关步骤,从而缩短响应时间即 MTTR。
2、释放人力
让安全专家从繁重的重复劳动中释放出来,将时间放在更有价值的安全分析、威胁猎捕、流程建立等工作上。
3、安全运营流程标准化
将公司的安全运营流程数字化管理起来,每一次安全事件的对应处置过程都在统一标准,统一步骤下执行,有迹可循。避免人员能力的差距导致的处置实际效果不可控。
4、避免能力断层
将安全专家的经验固化成处置预案Playbook,让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程,避免因为个人的离职导致某个领域的安全能力缺失。
5、运营流程指标可度量
因为运营流程都通过 Playbook 数字化管理且每一次的执行过程都记录在案,因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可评估、可度量、可追踪。
6、安全运营决策支撑
通过对公司的所有运营流程数字化管理、数字化执行、数字化KPI评估后,管理者可以有效的评估什么流程基本无用,什么流程执行效率不高,什么流程发挥了最大的作用,甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策,安全团队建设决策提供有价值的数值化支撑。
如果说 SIEM/态势感知将企业的整个安全栈以数据的方式完整集成起来,那么 SOAR 则是将企业的整个安全栈以流程与 API 的方式完整的集成了起来。
到这里,我们将 SOAR 的概念和价值做了解读。在未来的一段时间,我们将通过多篇后续文章,将 SOAR 的技术、能力、案例以及落地分别加以介绍。
本文作者:瀚思科技研发副总裁 汪磊
相关阅读