下一代安全运营中心之智能安全编排

0x00、前言

网络安全市场永远不缺新概念，最近几年Gartner 在安全领域又抛出了MDR、xDR、Next-Gen SOC、MSSP等概念。但是这概念和产品最终的目的是降低我们处理企业安全风险的处理速度和成本。可以通过MTTI（Mean Time to identify）和 MTTR（Mean Time to Response）来衡量其效果。

经过公有云线上应急响应的实践得出，发现风险的能力在安全产品化方面已经足够完善（需要提升的地方是关联分析能力），大部分时间都浪费在安全事件响应，也就是MTTR过低。这时，智能的安全编排技术浮出了水面。

0x01、竞品分析

根据gartner报告：Market Guide for Security Orchestration, Automation and Response Solutions

Resilient：

企业应急响应挑战：

1、根据对IBM服务的用户调研，发现77%用户组织中没有或者很难雇佣具备一定安全分析能力的专家。

2、在安全预算不变的情况下，65%的用户攻击事件有明显的增加。PHP大马

3、复杂的安全合规诉求，例如：GDPR，复杂SOC平台运营，例如：Symantec SOC 平均有75个工具需要操作。

主要强调的理念和产品特点：

1、向导化响应规则：客户动态定制剧本和工作流程，连接人、流程、技术。

2、提升的可见性。

3、更好的合规。

主要关注在对第三方App的集成方面

与工作流集成方面

Phantom: 是目前SOAR市面上产品方面做的最好的产品，splunk的收购也证明了它的价值。

企业应急响应挑战：

1、处理复杂的安全问题，需要协调来至很多安全供应商采购的大量的产品产品，会碰到一大堆相关的技术问题，MTTR一般都超过24小时。

2、无法量化自己企业的安全风险，源于不断扩大的攻击面和庞大威胁数量，同时人员和预算有限。天天好彩

主要强调的理念和产品特点：

1、Phantom集成了你团队，流程、工具。

2、可自动执行重复性的任务，可让安全分析人员专注在其他关键的任务问题上。

3、同时，还提供事件案例管理库，并且帮助大家从实战经验中培训你的团队。

Demisto：2019年2月被Palo Alto Networks以5.6亿美元收购

主要功能以及特点：

1、抽取数据，Demisto集成在Palo Alto  Application framework 中，更方便的抽取网络层面的安全数据。

2、触发自动安全剧本（playbook）。

3、可关联的作战室，做深入调查。（用户可查看任务的执行的过程中的结果）

4、统一的工作流（可交互不同的安全产品）。

Application framework集成

Siemplify:于2015年在以色列特拉维夫成立。

企业面临的挑战

1、Alert overload 告警过载

目前企业中出现了很多新的安全检测技术，XDR、EDR、NTA等会发现很多疑似入侵的可疑事件，这样就增加了告警的数量，安全分析人员无法有效的对每一个报警做分析，更过分的是安全工程师忙了一个晚上分析，发现是误报。

2、Disparate Tools 不同的工具

会看到很多安全产品界面，SEIM、TIP、EDR、sandbox等，调查，分诊，修复。不能很好的融合到一起。

3、manual processes 手工流程

很多大公司安全业务流程都是手工的，并且没有良好的记录。如果离开组织，整个分析过程是无法继承和被传递的。新来的人员是缺乏相关的培训。

4、talent shortage 人才短缺

每年需要安全人才100~300万之间，重复性的工作可以通过程序完成，安全分析人员把宝贵的时间用在分析更有价值的安全事件上。

主要功能以及特点：

1、安全剧本：创建一个Appstore ,集成各家的安全工具的OpenAPI，并且构建一个贯穿始末的安全剧本（playbook），高级安全分析师以前需要手工执行的流程。

2、调查模块：主要目的是要完成降低误报，并且关闭告警事件。

3、可视化安全操作过程以及结果。

收益：

1、通过精心策划的playbook，要比分析师手工工作提升3~10倍的效率。

2、响应时间更快，平均值块了80%左右。

UEBA+soar解决方案

logichub:

企业面临的挑战：

1、被告警淹没，没有把准确的告警和噪音分开。分类是一个单调乏味的事情。

2、误报增加响应时间。

产品特点：

1、提升应急响应工作效率：

2、playbook，增加分数处理能力

Syncurity-IR Flow:

在产品层面没有多大的创新点，但是规则方面可以学习。

Komand: 2017年7月收购了SOAR供应商Komand

在产品层面没有多大的创新点，但是UI方面可以学习。

0x02、SOAR未来

1、SOAR可以成为组织实现多个目标的中心枢纽：从SIEM或其他安全控制监控事件; 编排不同的安全产品来构建上下文; 帮助确定多个并发项目和事件的优先级; 然后推动响应。

2、SOAR还处于早期阶段。然而，提高SOC活动的效率和一致性以及能够为托管安全服务（MSS）客户提供更多定制流程的承诺是令人信服的。一些托管安全服务提供商（MSSP）已认真采用SOAR技术，并将其嵌入其交付平台的核心。

3、云安全厂商会逐步集成SOAR到自己的安全解决方案中，而且可打通云平台相关OpenAPI资源。例如：vm、docker、安全组、oss、rds等。