【前言】本文首发于安全牛,现修订后发表于51CTO博客。这里我从我目前创业所在的盛华安公司的视角对SOAR进行了剖析。


【摘要】继新型安全检测技术之后,如何借助编排和自动化手段提升安全响应的效能成为焦点,SOAR应运而生。什么是SOAR?什么是编排?具备什么特点?包含哪些功能?本文对SOAR进行技术解析,并通过实例加以说明。


SOAR技术解析

随着网络安全攻|防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻|击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。

正是在这样的背景下,在国际上,检测和响应类产品受到了极大的关注。放眼国内,更多的注意力集中到了新型检测产品,尤其是未知威胁检测领域。借助这些产品和技术,用户获得了更低的MTTD(平均检测时间),能够更快更准确地检测出攻|击和入|侵。但是,这些产品和技术大都没有帮助用户降低MTTR(平均响应时间)。事实上,对于用户而言,更快地检测出问题仅仅是第一步,如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候,不能仅仅从单点(譬如单纯从端点或者网络)去考虑,还需要从全网整体安全运维的角度去考虑,要将分散的检测与响应机制整合起来。而这,正是SOAR要解决的问题。

SOAR,即安全编排自动化与响应。该技术聚焦安全运维领域,重点解决(但不并不限于)安全响应的问题,最早由Gartner在2015年提出。当时,Gartner将SOAR定义为安全运维分析与报告。随着安全运维技术的快速发展与演变,到了2017年,Gartner重新将SOAR定义为安全编排自动化与响应,并将其看作是安全编排与自动化(SOA, Security Orchestration and Automation)、安全事件响应平台(SIRP)和威胁情报平台(TIP, Threat Intelligence Platform)三种技术/工具的融合。Gartner认为,SOAR技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。

就目前而言,SOAR的三大核心技术能力分别是安全编排与自动化、安全事件响应平台、威胁情报平台。

l  安全编排与自动化:这是SOAR的核心能力和基本能力。

安全编排与安全自动化是两个不同的概念。其中,安全编排(Orchestration)是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口(API)和人工检查点,按照一定的逻辑关系组合到一起,用以完成某个特定安全操作的过程。譬如用户针对一封收到的可疑邮件进行深入检测与响应(操作)的过程可以分解为根据拆解出来的发件人、URL链接和IP等信息查询威胁情报系统,将附件送入沙箱系统进行分析,并根据情报系统和沙箱系统返回的信息进一步决定是否要通知邮件系统删除该邮件或者附件,是否要通过EDR获取收件人终端上的进一步信息做分析,等等。上述这个可疑邮件分析的过程就是一个将邮件系统、威胁情报系统、沙箱系统、EDR等等系统通过一定的逻辑编排到一起的实例。

安全自动化(Automation)在这里特指自动化的编排过程,也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的API实现的,那么它就是可以自动化执行的。与自动化编排对应的,还有人工编排和部分自动化(混合)编排。

不论是自动化的编排,还是人工的编排,都可以通过剧本(playbook)来进行表述。而支撑剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本,SOAR通常还提供一套可视化的剧本编辑器。

剧本是面向编排管理员的,让其聚焦于编排安全操作的逻辑本身,而隐藏了具体连接各个系统的编程接口及其指令实现。SOAR通常通过应用(App)和动作(Action)机制来实现可编排指令与实际系统的对接。应用和动作的实现是面向编排指令开发者的。

l  安全事件响应平台:这是SOAR的关键功能,但也可以独立于SOAR存在。

安全事件(Incident)响应平台在SOAR出现之前就一直存在,顾名思义就是一个针对Incident进行响应和处置的平台。但SOAR出现后,安全事件响应与安全编排与自动化的结合使得响应的能力获得了极大的提升。通常,安全事件响应包括告警管理、工单管理、案件(Case)管理等功能。

告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。

工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。

案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证(IOC)和攻|击者的战技过程指标信息(TTP)。多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。

l  威胁情报平台:这是SOAR的重要功能,但也可以独立于SOAR存在。

威胁情报平台(TIP)是Gartner在2014年定义的一个细分市场,通多对多源威胁情报的收集、关联、分类、共享和集成,以及与其它系统的整合,协助用户实现攻|击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。目前TIP市场规模不大,厂商不多,有的是独立存在,有的依附于威胁情报服务,还有的跟安全响应结合,融合到SOAR里面。

通过上面的分析,我们可以发现,SOAR作为安全运维的综合响应平台,具有极强的支撑作用。Gartner认为,现代SOC(Modern Security Operations Center)将至少包括现代SIEM(Modern SIEM,即集成了UEBA的SIEM)和SOAR。也就是说,SOAR将作为现代SOC中安全运维与响应的支撑平台。Gartner估计,到2021年,70%的SOC将包括SOAR能力。这其中,既可能是SIEM附带的SOAR,也可能是独立SOAR平台。

通过在SOC中实现SOAR,不仅可以完善SOC的安全响应的能力,尤其是编排和自动化能力,以及响应管理能力,并且能在整体上提升SOC的效能,包括安全事件调查分析(含MTTD)的速度、安全响应(MTTR)的速度、将分散的安全系统整合的能力,以及单个安全运维人员的生产率。

盛华安国内发布SOAR

SOAR的价值和作用已经相当明显。当前,国际上已经出现了多家SOAR专业厂商,而不少SIEM国际厂商也都推出(收购)了SOAR产品和功能。反观国内,尚没有出现专业的SOAR厂商,也没有安全管理平台厂商正式发布SOAR产品或功能。究其原因,SOAR能力的获得并非一朝一夕之功,需要深厚的安全运维技术积累。

正是在这样的背景下,作为国内具备十几年安全管理与运维技术积累和实践经验的盛华安创业技术团队,从4年前就注意到了SOAR技术,经过长期的调研,以及近1年的潜心研发,于2019年7月底国内发布了SOAR功能(Cybersky-SOAR)!

盛华安此次国内发布SOAR功能,符合国际技术发展大势和国内客户切实需求,推动了国内新一代安全管理平台的发展,将国内安全管理平台/SOC平台/SIEM/安全态势感知领域的技术水平带上了一个新台阶,也再次印证了盛华安安全管理平台团队的强大实力。

盛华安SOAR主要包括告警管理、案件管理、工单管理、安全编排与自动化、威胁情报应用五大功能。

下图展示了安全告警、案件管理、工单管理和安全编排自动化的功能组成及其相互关系:

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第1张图片

l  告警管理

CyberSky-SOAR告警管理包括告警分诊、告警调查、告警响应和告警库四个功能。其中最核心的是告警分诊和告警调查,这也是区别于传统SIEM/SOC平台的告警管理功能的关键之处。告警分诊一方面能够自动化地聚合告警信息,减少管理员需要查看的告警数量,同时还能自动地计算告警的可信度和处置优先级,帮助管理员聚焦关键的告警。告警调查是指针对告警信息的补充调查分析,剔除虚警,并将模糊的、低质量的告警变成高质量、有价值的告警的过程。在进行告警调查的时候,运维管理员可以调用安全编排与自动化的剧本或者动作,对告警进行增强,并最终通过告警透视获得对告警信息全面的可见性,尽可能清晰、精准地将这个告警的相关信息呈现出来,方便管理员进行研判。

l  案件管理

CyberSky-SOAR案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置。通过案件的流程处理功能,可以为不同性质的案件指派不同的案件处理流程,并监督执行;借助案件的工件(Artifacts)管理功能,可以不断积累该案件相关的痕迹物证(IOC)和攻|击者的战技过程指标信息(TTP);而通过编排调查与响应功能,可以对案件中的任何工件执行剧本或者动作,拓线追踪,深挖疑点、丰富案件信息。

下图展示了CyberSky-SOAR的某个案件管理的界面:

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第2张图片

l  工单管理

CyberSky-SOAR具备标准的工单管理功能,支持用于突发性告警响应的一次性工单和日常(重复性)工单。工单流转和处理过程全程记录。

l  安全编排与自动化

安全编排与自动化是CyberSky-SOAR的核心功能,实现了剧本的编辑维护,以及应用和动作的管理。安全编排与自动化的核心是剧本库和应用库(动作库)。这些库可以被安全分析、告警管理和案件管理等功能随时调用。通过该功能,真正实现了SOAR将不同的系统协同联动起来的目标,就像一个交响乐队的指挥。

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第3张图片

下图展示了CyberSky-SOAR的一个剧本的可视化编辑界面:

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第4张图片

l  威胁情报应用

威胁情报应用功能的核心将外部的威胁情报与用户自身网络中收集到的告警信息进行情报比对分析和印证。

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第5张图片

威胁情报应用既可以用在安全分析的时候,也可以用在告警调查、案件管理的时候。

下图展示了在案件管理中调用外部威胁情报系统(VirusTotal)动作的界面:

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第6张图片

 

总之,盛华安SOAR较为完整地实现了Gartner对SOAR定义的核心能力,因而是真正意义上的SOAR产品。同时,盛华安SOAR的发布,也践行了公司成立之初提出的集数据摄取、数据存储、数据治理、监测分析、指挥调度与一体的闭环态势感知与管理技术架构的理念。

安全编排自动化与响应(SOAR)技术解析【51CTO版】_第7张图片