隨著企業(yè)組織面臨越來越多的威脅，為了能夠進(jìn)行快速、持續(xù)地響應(yīng)，安全人員不得不與復(fù)雜操作流程以及匱乏的資源、技能和預(yù)算等做斗爭(zhēng)。青藤云安全坦言，很多企業(yè)由于安全和運(yùn)維人員短缺，更希望能夠通過自動(dòng)化方式而不是人工方式去執(zhí)行重復(fù)任務(wù)。以勒索軟件為例，為了有機(jī)會(huì)控制其在企業(yè)組織中橫向滲透的威脅，企業(yè)需要能在幾分鐘內(nèi)快速完成響應(yīng)。在這樣情況，企業(yè)組織只能通過將更多任務(wù)派發(fā)給機(jī)器以減少響應(yīng)時(shí)間。

但是當(dāng)下，以SOC為代表安全監(jiān)控系統(tǒng)，不僅成本高昂，而且會(huì)產(chǎn)生大量誤報(bào)。如果安全人員以手工的方式處理大量警報(bào)分類，很容易導(dǎo)致忽略真實(shí)且有危害的事件。減少響應(yīng)時(shí)間(包括事件遏制和補(bǔ)救)是控制安全事件影響的最有效方法之一。雖然在各個(gè)行業(yè)威脅檢測(cè)的平均時(shí)間呈下降趨勢(shì)，但仍然需要很長(zhǎng)時(shí)間。對(duì)于大多數(shù)企業(yè)來說，快速發(fā)現(xiàn)威脅并作出響應(yīng)和補(bǔ)救措施仍然面臨巨大挑戰(zhàn)。

在這樣的背景下，安全編排、自動(dòng)化與響應(yīng)(SOAR)技術(shù)的需求迎來大幅增長(zhǎng)。SOAR出現(xiàn)可以解決響應(yīng)過程中人員短缺、改進(jìn)警報(bào)分類質(zhì)量和速度、減少響應(yīng)時(shí)間、降低安全人員工作壓力等問題。

1.SOAR進(jìn)化發(fā)展

根據(jù)Gartner預(yù)測(cè)，到2022年，有30%大型企業(yè)組織(安全團(tuán)隊(duì)超過5人)將在安全和運(yùn)維的工作中使用SOAR，這一比例遠(yuǎn)超當(dāng)下5%。當(dāng)下SOAR技術(shù)的早期擁護(hù)者是那些已經(jīng)擁有成熟安全運(yùn)維中心，并且能夠理解SOAR帶來好處的那些成熟的安全組織。

2015年，可以定義為SOAR的1.0時(shí)代。Gartner將SOAR(當(dāng)時(shí)被認(rèn)為是“安全運(yùn)維分析和報(bào)告”)描述成為安全運(yùn)維團(tuán)隊(duì)提供機(jī)器可讀的安全數(shù)據(jù)報(bào)告和分析管理功能的產(chǎn)品。2017年，SOAR進(jìn)入2.0時(shí)代。Gartner提出了“安全編排、自動(dòng)化及響應(yīng)”(SOAR)這個(gè)術(shù)語(yǔ)，用以描述脫胎于事件響應(yīng)、安全自動(dòng)化、場(chǎng)景管理和其他安全工具的一系列新興平臺(tái)。Gartner觀察到三種以前截然不同的技術(shù)：安全編排和自動(dòng)化(SOA)、安全事件響應(yīng)平臺(tái)(SIRPs)和威脅情報(bào)平臺(tái)(TIPs)，正在逐步融合到一起，如下圖所示。

不同時(shí)代SOAR類別

根據(jù)Gartner2019年最新定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報(bào)警信息，或通過與其它技術(shù)的集成和自動(dòng)化協(xié)調(diào)，提供包括安全事件響應(yīng)和威脅情報(bào)等功能。SOAR技術(shù)市場(chǎng)最終目標(biāo)是將安全編排和自動(dòng)化(SOA)、安全事件響應(yīng)(SIR)和威脅情報(bào)平臺(tái)(TIP)功能融合到單個(gè)解決方案中。

這種融合到2019年仍然持續(xù)進(jìn)行中。例如，在Splunk收購(gòu)Phantom之后，SOAR可能會(huì)嵌入到它的SIEM中，并用于IT操作場(chǎng)景。SOAR 技術(shù)仍然在快速演化，內(nèi)涵未來仍可能會(huì)變化，但其圍繞安全運(yùn)維，聚焦安全響應(yīng)的目標(biāo)不會(huì)改變。例如基礎(chǔ)設(shè)施監(jiān)視、應(yīng)用程序性能監(jiān)視和故障排除。

2.SOAR核心功能

雖然SOAR能夠?yàn)榘踩藛T提供自動(dòng)化工具來提高他們的工作效率，極大增強(qiáng)了威脅檢測(cè)和響應(yīng)等活動(dòng)安全效果。但是SOAR工具也并非萬(wàn)能“銀彈”，很多人都認(rèn)為它將把警報(bào)功能與防火墻、入侵檢測(cè)和預(yù)防系統(tǒng)(IDPS)和端點(diǎn)保護(hù)平臺(tái)(EPPs)等預(yù)防性工具集連接起來。實(shí)則不然，SOAR技術(shù)的功能是使企業(yè)組織的安全團(tuán)隊(duì)能夠收集監(jiān)控?cái)?shù)據(jù)，例如警報(bào)，并能夠?qū)崿F(xiàn)部分自動(dòng)化地進(jìn)行事件分析和分類過程。這些功能目的是在幫助安全人員根據(jù)預(yù)定義的工作流，確定優(yōu)先級(jí)并推動(dòng)標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)。就目前而言，SOAR 的三大核心技術(shù)能力分別是安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)、威脅情報(bào)平臺(tái)。

（1）安全編排與自動(dòng)化（SOA）：這是SOAR的核心能力和基本能力

安全編排 (Orchestration) 是指將客戶不同的系統(tǒng)或者一個(gè)系統(tǒng)內(nèi)部不同組件的安全能力通過可編程接口 (API) 和人工檢查點(diǎn)，按照一定的邏輯關(guān)系組合到一起，用以完成某個(gè)特定安全操作的過程。

SOAR中的關(guān)鍵詞是編排，這是在使用自動(dòng)化和響應(yīng)之前必須構(gòu)建的關(guān)鍵組件。編排，就像音樂指揮家編排樂隊(duì)來傳遞音樂一樣。未來所有安全設(shè)備都會(huì)被打散成API和數(shù)據(jù)，根據(jù)數(shù)據(jù)建立指標(biāo)，API則對(duì)這些數(shù)據(jù)進(jìn)行操控編排。從現(xiàn)在市場(chǎng)可以看到是，以青藤云安全為代表新一代安全廠商，都采用了核心平臺(tái)引擎化的技術(shù)。所謂的引擎化就是可以迅速把安全想法變成現(xiàn)實(shí)可用的功能，而要支撐這個(gè)能力技術(shù)就是Full API和安全編排能力。而實(shí)現(xiàn)安全平臺(tái)引擎化包括三個(gè)核心要素：靈活的數(shù)據(jù)生成能力、機(jī)器學(xué)習(xí)能力、模型快速驗(yàn)證能力。

安全自動(dòng)化 (Automation) 在這里特指自動(dòng)化的編排過程，也就是一種特殊的編排。如果編排的過程完全都是依賴各個(gè)相關(guān)系統(tǒng)的 API 實(shí)現(xiàn)的，那么它就是可以自動(dòng)化執(zhí)行的。與自動(dòng)化編排對(duì)應(yīng)的，還有人工編排和部分自動(dòng)化(混合)編排。

不論是自動(dòng)化的編排，還是人工的編排，都可以通過劇本 (playbook) 來進(jìn)行表述。而支撐劇本執(zhí)行的引擎通常是工作流引擎。為了方便管理人員維護(hù)劇本，SOAR 通常還提供一套可視化的劇本編輯器。

劇本是面向編排管理員的，讓其聚焦于編排安全操作的邏輯本身，而隱藏了具體連接各個(gè)系統(tǒng)的編程接口及其指令實(shí)現(xiàn)。SOAR 通常通過應(yīng)用 (App) 和動(dòng)作 (Action) 機(jī)制來實(shí)現(xiàn)可編排指令與實(shí)際系統(tǒng)的對(duì)接。應(yīng)用和動(dòng)作的實(shí)現(xiàn)是面向編排指令開發(fā)者的。

（2）安全事件響應(yīng)平臺(tái)(SIR)：這是SOAR的關(guān)鍵功能

通常，安全事件響應(yīng)包括告警管理、工單管理、案件 (Case) 管理等功能。告警管理的核心不僅是對(duì)告警安全事件的收集、展示和響應(yīng)，更強(qiáng)調(diào)告警分診和告警調(diào)查。只有通過告警分診和告警調(diào)查才能提升告警的質(zhì)量，減少告警的數(shù)量。

工單管理適用于中大型的安全運(yùn)維團(tuán)隊(duì)協(xié)同化、流程化地進(jìn)行告警處置與響應(yīng)，并且確保響應(yīng)過程可記錄、可度量、可考核。

案件管理是現(xiàn)代安全事件響應(yīng)管理的核心能力。案件管理幫助用戶對(duì)一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置，并不斷積累該案件相關(guān)的痕跡物證 (IOC) 和攻擊者的戰(zhàn)技過程指標(biāo)信息 (TTP)。多個(gè)案件并行執(zhí)行，從而持續(xù)化地對(duì)一系列安全事件進(jìn)行追蹤處置。

（3）威脅情報(bào)平臺(tái)(TIP)：這是SOAR的重要功能

威脅情報(bào)平臺(tái)是通對(duì)多源威脅情報(bào)的收集、關(guān)聯(lián)、分類、共享和集成，以及與其它系統(tǒng)的整合，協(xié)助用戶實(shí)現(xiàn)攻擊的阻斷、檢測(cè)和響應(yīng)。威脅情報(bào)主要是以服務(wù)而非平臺(tái)的形式存在。

此外，隔離跟修復(fù)，也是響應(yīng)之后一個(gè)重要操作。包括文件隔、文件刪除、進(jìn)程網(wǎng)絡(luò)隔離、進(jìn)程殺死/阻塞、進(jìn)程隔離和基于哈希的阻止等等。

3.SOAR部署條件

每個(gè)企業(yè)部署流程和技術(shù)并不相同，因此并不能“即插即用”，而是需要數(shù)周專業(yè)的安全服務(wù)才能完成初始化的場(chǎng)景部署。在早期時(shí)候，安全編排和自動(dòng)化是以單點(diǎn)安全解決方案形式在那些預(yù)定義和自動(dòng)化的工作流中工作。在準(zhǔn)備部署實(shí)施SOAR之前，需要先擁有一組已經(jīng)定義好的工作流和業(yè)務(wù)流。開箱即用和集成雖然可以實(shí)現(xiàn)，但是真正運(yùn)行還是少不了定制化的工作。利用專業(yè)服務(wù)和內(nèi)部資源的組合，為SOAR工具的實(shí)施和運(yùn)行制定計(jì)劃。

因此，安全編排、自動(dòng)化和響應(yīng)工具適合那些為提高安全處理效率而對(duì)運(yùn)營(yíng)流程進(jìn)行了清晰又正確分層的企業(yè)組織。安全人員在決定購(gòu)買SOAR之前，應(yīng)該認(rèn)真評(píng)估當(dāng)前安全運(yùn)營(yíng)中效率不高的那些流程是否能夠通過SOAR工具就可以得到很好提升。

基于工作業(yè)務(wù)流驅(qū)動(dòng)的流程

在使用SOAR平臺(tái)前必須具有定義良好的內(nèi)部流程，而構(gòu)建這些內(nèi)部流程需要來自內(nèi)部人員的技能，而這些技能在平臺(tái)上是買不到的。每個(gè)事件都應(yīng)該遵循一個(gè)流程來為特定的事件(通常稱為劇本)構(gòu)建正確的編排。在定義流程時(shí)，安全和運(yùn)維人員通常會(huì)使用觀察、調(diào)整、決策和行動(dòng)(OODA)循環(huán)，在使用SOAR工具前也可使用這個(gè)循壞：

(1)觀察事件并確定發(fā)生了什么。

(2)確定觀察的方向，并添加上下文來確定觀察的含義。

(3)根據(jù)業(yè)務(wù)的風(fēng)險(xiǎn)容忍度和能力決定適當(dāng)?shù)捻憫?yīng)行動(dòng)。

(4)根據(jù)決定采取行動(dòng)，并應(yīng)用到觀察過程中，然后重復(fù)。

與OODA相關(guān)的檢測(cè)流程

雖然SOAR平臺(tái)能夠消除現(xiàn)有員工當(dāng)前執(zhí)行的單調(diào)、重復(fù)任務(wù)的需求，但是SOAR本身并不能代替人類。SOAR技術(shù)可以幫助安全和運(yùn)維團(tuán)隊(duì)更快地從決策點(diǎn)a移動(dòng)到?jīng)Q策點(diǎn)B，但是所選擇的路徑以及如何在該路徑上做出決定是需要人工交互的技能。

在SOAR產(chǎn)品中定義良好的劇本可以創(chuàng)建更高效的決策速度。但是具體響應(yīng)執(zhí)行過程還要由業(yè)務(wù)環(huán)境中事件的上下文、業(yè)務(wù)風(fēng)險(xiǎn)的容忍度以及安全運(yùn)維之外的團(tuán)隊(duì)的能力來驅(qū)動(dòng)。因此，我們只能將SOAR應(yīng)用于已經(jīng)預(yù)想可能會(huì)發(fā)生的并且知道如何響應(yīng)的安全場(chǎng)景中。有些SOAR供應(yīng)商為特定的場(chǎng)景預(yù)定義了劇本，可以根據(jù)需求將劇本拖放到響應(yīng)場(chǎng)景中，這在一定程度上可以幫助企業(yè)克服構(gòu)建整體編排和響應(yīng)操作的挑戰(zhàn)，但這也并不是維護(hù)SOAR平臺(tái)長(zhǎng)期發(fā)揮作用的解決方案。

SOAR功效發(fā)揮除了依賴于清晰流程和豐富的預(yù)定義劇本之外，通常還需要具有特定編碼和腳本技能的內(nèi)部團(tuán)隊(duì)成員來運(yùn)維SOAR平臺(tái)。除了劇本和響應(yīng)的維護(hù),還需要安全人員能夠提供API能力用于連接各種安全工具 (如SIEM、EDR、NGFW等)。

4.SOAR場(chǎng)景價(jià)值

由上文可知，SOAR是由三種技術(shù)解決方案(安全編排和自動(dòng)化、威脅情報(bào)平臺(tái)和事件響應(yīng)平臺(tái))融合而成的概念。市場(chǎng)上最初并沒有SOAR廠商，因此許多來自不同領(lǐng)域的廠商，開始從不同的角度來構(gòu)建他們自己的SOAR解決方案。為此，不同SOAR提供了不同價(jià)值，主要可以分為三類：增強(qiáng)SIEM管理、創(chuàng)建更好調(diào)查平臺(tái)、優(yōu)化安全團(tuán)隊(duì)管理和流程管理。盡管這些價(jià)值可能會(huì)重疊或具有一定的包含性，但SOAR廠商如何打造推廣自家SOAR價(jià)值將會(huì)影響他們的市場(chǎng)潛力。

SOAR價(jià)值

不管提倡哪類價(jià)值，SOAR都不是SIEM下一代，也不是取證或合規(guī)管理工具的替代者。SOAR的定義相當(dāng)寬泛，因此吸引了眾多廠商爭(zhēng)奪市場(chǎng)領(lǐng)導(dǎo)地位。許多供應(yīng)商已從他們現(xiàn)有的解決方案轉(zhuǎn)向了SOAR提供商。因此，不同安全廠商產(chǎn)品有不一樣價(jià)值賣點(diǎn)，進(jìn)而可吸引不同甲方企業(yè)和不同角色的人員購(gòu)買。

目前，SOAR在企業(yè)組織中最常見的使用場(chǎng)景是通過數(shù)字工作流方式，定義事件分析和響應(yīng)過程。通過對(duì)劇本等工具有效利用，以及威脅情報(bào)在安全運(yùn)維中的使用，從而增強(qiáng)企業(yè)組織在面臨威脅時(shí)預(yù)測(cè)、防御、檢測(cè)和響應(yīng)能力。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。