SOAR是最近幾年安全市場(chǎng)上最火熱的詞匯之一。SOAR究竟是什么，發(fā)展歷程是什么，能夠起什么作用，帶著這些問(wèn)題我們來(lái)認(rèn)識(shí)一下SOAR。

一、SOAR是什么

SOAR 一詞來(lái)自分析機(jī)構(gòu) Gartner，SOAR-Security Orchestration, Automation and Response 安全編排和自動(dòng)化響應(yīng)。在Gartner的報(bào)告里，SOAR平臺(tái)的核心組件為，編排與自動(dòng)化、工作流引擎、案例與工單管理、威脅情報(bào)管理。而SOAR體系則是三個(gè)概念的交叉重疊：SOAR=SOA+SIRP+TIP
1）精密編排的聯(lián)動(dòng)安全解決方案(SOA)；
2）事件應(yīng)急響應(yīng)平臺(tái)(SIRP)；
3）威脅情報(bào)平臺(tái)(TIP)。

二、SOAR的發(fā)展歷程

2015年，可以定義為SOAR的1.0時(shí)代。Gartner將SOAR(當(dāng)時(shí)被認(rèn)為是“安全運(yùn)維分析和報(bào)告”)描述成為安全運(yùn)維團(tuán)隊(duì)提供機(jī)器可讀的安全數(shù)據(jù)報(bào)告和分析管理功能的產(chǎn)品。2017年，SOAR進(jìn)入2.0時(shí)代。Gartner提出了“安全編排、自動(dòng)化及響應(yīng)”(SOAR)這個(gè)術(shù)語(yǔ)，用以描述脫胎于事件響應(yīng)、安全自動(dòng)化、場(chǎng)景管理和其他安全工具的一系列新興平臺(tái)。Gartner觀察到三種以前截然不同的技術(shù)：安全編排和自動(dòng)化(SOA)、安全事件響應(yīng)平臺(tái)(SIRPs)和威脅情報(bào)平臺(tái)(TIPs)，正在逐步融合到一起。
根據(jù)Gartner2019年最新定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報(bào)警信息，或通過(guò)與其它技術(shù)的集成和自動(dòng)化協(xié)調(diào)，提供包括安全事件響應(yīng)和威脅情報(bào)等功能。SOAR技術(shù)市場(chǎng)最終目標(biāo)是將安全編排和自動(dòng)化(SOA)、安全事件響應(yīng)(SIR)和威脅情報(bào)平臺(tái)(TIP)功能融合到單個(gè)解決方案中。

根據(jù)Gartner預(yù)測(cè)，到2022年，有30%大型企業(yè)組織（安全團(tuán)隊(duì)超過(guò)5人）將在安全和運(yùn)維的工作中使用SOAR，這一比例遠(yuǎn)超當(dāng)下5%。當(dāng)下SOAR技術(shù)的早期擁護(hù)者是那些已經(jīng)擁有成熟安全運(yùn)維中心，并且能夠理解SOAR帶來(lái)好處的那些成熟的安全組織。

三、SOAR主要解決什么問(wèn)題

隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈，網(wǎng)絡(luò)安全單純指望防范和阻止的策略已經(jīng)失效，必須更加注重檢測(cè)與響應(yīng)。企業(yè)和組織要在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集阻止、檢測(cè)、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。在國(guó)際上，檢測(cè)和響應(yīng)類(lèi)產(chǎn)品受到了極大的關(guān)注。放眼國(guó)內(nèi)，更多的注意力集中到了新型檢測(cè)產(chǎn)品，尤其是未知威脅檢測(cè)領(lǐng)域。借助這些產(chǎn)品和技術(shù)，用戶獲得了更低的 MTTD（平均檢測(cè)時(shí)間），能夠更快更準(zhǔn)確地檢測(cè)出攻擊和入侵。但是，這些產(chǎn)品和技術(shù)大都沒(méi)有幫助用戶降低 MTTR（平均響應(yīng)時(shí)間）。事實(shí)上，對(duì)于用戶而言，更快地檢測(cè)出問(wèn)題僅僅是第一步，如何快速地對(duì)問(wèn)題進(jìn)行響應(yīng)更加重要。而在提升安全響應(yīng)效率的時(shí)候，不能僅僅從單點(diǎn)（譬如單純從端點(diǎn)或者網(wǎng)絡(luò)）去考慮，還需要從全網(wǎng)整體安全運(yùn)維的角度去考慮，要將分散的檢測(cè)與響應(yīng)機(jī)制整合起來(lái)。而這，正是 SOAR 要解決的問(wèn)題。
Gartner指出，SOAR可供公司企業(yè)收集不同來(lái)源的安全威脅數(shù)據(jù)和警報(bào)，運(yùn)用人機(jī)結(jié)合的方法進(jìn)行事件分析與分類(lèi)，根據(jù)標(biāo)準(zhǔn)流程輔助定義、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化事件響應(yīng)行為。SOAR主要為安全團(tuán)隊(duì)提供定制化的流程和控制，彌合并加速有效網(wǎng)絡(luò)威脅的調(diào)查與緩解。安全運(yùn)營(yíng)團(tuán)隊(duì)的大量日常事務(wù)性工作也可以借助SOAR加以自動(dòng)化。而且，案例戰(zhàn)術(shù)手冊(cè)還可以幫助分析師在單一平臺(tái)上響應(yīng)和緩解威脅，節(jié)約事件響應(yīng)的每一分每一秒寶貴時(shí)間。
Gartner 用 OODA 模型，來(lái)描繪一個(gè)典型的安全運(yùn)營(yíng)流程。OODA 即 Observe(觀察)、Orient(定位)、Decide(決策)、Act(行動(dòng))。

• 觀察：觀察事件并確定發(fā)生了什么，即通過(guò)各種檢測(cè)、分析工具，比如 SIEM 類(lèi)工具，找到威脅線索，如告警
• 定位：確定觀察的方向，并添加上下文來(lái)確定觀察的含義，即對(duì)產(chǎn)生的告警的內(nèi)容做調(diào)查、豐富化。比如查找外網(wǎng)域名的威脅情報(bào)，查找此 IP 的歷史行為協(xié)助研判等等。
• 決策：根據(jù)業(yè)務(wù)的風(fēng)險(xiǎn)容忍度和能力決定適當(dāng)?shù)捻憫?yīng)行動(dòng)，即判定是否需要對(duì)此告警采取行動(dòng)，比如是否需要封禁，是否影響業(yè)務(wù)，是否需要進(jìn)一步觀察。
• 行動(dòng)：根據(jù)決定采取行動(dòng)，并應(yīng)用到觀察過(guò)程中，然后重復(fù)，即執(zhí)行確定的安全策略，并驗(yàn)證。每一步都對(duì)下一步提供了指導(dǎo)，周而復(fù)始，構(gòu)成了一個(gè)良性促進(jìn)的進(jìn)化循環(huán)，不斷優(yōu)化企業(yè)的安全運(yùn)營(yíng)流程以應(yīng)對(duì)不斷變化的安全威脅。
  

OODA 環(huán)看起來(lái)邏輯清晰，易于操作。但事實(shí)上， OODA 環(huán)里的豐富化、調(diào)查取證、驗(yàn)證、執(zhí)行安全策略變更等等，都是耗時(shí)耗力的工作。加上安全設(shè)備一直以來(lái)的誤報(bào)問(wèn)題產(chǎn)生的噪音，以及安全人員工作負(fù)荷重，資深從業(yè)人員短缺等原因，難以真正有效的推進(jìn) OODA 循環(huán)。更不用提在 HW 時(shí)段高強(qiáng)度的工作壓力下，如何能夠有條不紊的保持一貫的處置流程來(lái)處理每一個(gè)安全線索。SOAR 正是在這個(gè)背景下被提出，并被寄予厚望。SOAR 的核心，就是將安全流程或預(yù)案，即 OODA 循環(huán)的每一個(gè)實(shí)例，比如蠕蟲(chóng)爆發(fā)處理流程、挖礦病毒告警處理流程、疑似釣魚(yú)郵件處理流程等等，數(shù)字化管理起來(lái)形成 Playbook。用自動(dòng)化完成其中所有可能自動(dòng)化的動(dòng)作，無(wú)法自動(dòng)的仍然交由人來(lái)處理，通過(guò)可視化編排工具將人、技術(shù)和流程有機(jī)的結(jié)合起來(lái)，形成標(biāo)準(zhǔn)統(tǒng)一的、可重復(fù)的、更高效的安全運(yùn)營(yíng)流程。

四、SOAR的核心功能

從SOAR安全編排自動(dòng)化響應(yīng)的字面定義來(lái)看SOAR應(yīng)該具備三大核心能力，編排、自動(dòng)化、響應(yīng)

編排

SOAR中的關(guān)鍵詞是編排，這是在使用自動(dòng)化和響應(yīng)之前必須構(gòu)建的關(guān)鍵組件。SOAR的編排體現(xiàn)的是一種協(xié)調(diào)和決策的能力，針對(duì)復(fù)雜性的安全事件，通過(guò)編排將分析過(guò)程中各種復(fù)雜性分析流程和處理平臺(tái)進(jìn)行組合。分析涉及多種數(shù)據(jù)或平臺(tái)，如SIEM分析平臺(tái)、漏洞管理平臺(tái)、情報(bào)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等。處置響應(yīng)的編排也涉及到很多平臺(tái)或設(shè)備，如EDR管理平臺(tái)、運(yùn)維管理平臺(tái)、工單管理平臺(tái)、WAF設(shè)備、防火墻等。僅僅以技術(shù)為中心的安全保障已不再能滿足現(xiàn)狀，將人員和流程的編排才能保證安全流程真正高效的運(yùn)行。SOAR的終極目標(biāo)就是實(shí)現(xiàn)技術(shù)、流程、人員的無(wú)縫編排。

自動(dòng)化

SOAR的自動(dòng)化體現(xiàn)在三個(gè)方面，面對(duì)需要處理的安全事件能夠根據(jù)策略自動(dòng)選擇編排的劇本、自動(dòng)執(zhí)行劇本的操作流程、根據(jù)決策結(jié)果自動(dòng)聯(lián)動(dòng)設(shè)備進(jìn)行防護(hù)阻斷等行動(dòng)策略。它允許劇本（常稱為Playbooks）在安全流程的部分或全部?jī)?nèi)容上執(zhí)行多個(gè)任務(wù)，將線性劇本串聯(lián)起來(lái)。雖然線性劇本可能更容易創(chuàng)建，但只適用于處理決策需求較少的工作流。編排和自動(dòng)化比線性劇本的最大優(yōu)勢(shì)就是其靈活性，為支持全自動(dòng)化和半自動(dòng)化的決策，需要更加靈活的工作流和執(zhí)行劇本。SOAR能夠識(shí)別這些決策模式，并基于以往事件中的執(zhí)行操作，自動(dòng)推薦新事件的劇本、執(zhí)行劇本操作流程，自動(dòng)化分析決策，根據(jù)決策結(jié)果自動(dòng)下發(fā)防護(hù)阻斷的行動(dòng)策略。

響應(yīng)

安全事件響應(yīng)包括告警管理、工單管理、案件管理等功能。告警管理的核心不僅是對(duì)告警安全事件的收集、展示和響應(yīng)，更強(qiáng)調(diào)告警分診和告警調(diào)查。只有通過(guò)告警分診和告警調(diào)查才能提升告警的質(zhì)量，減少告警的數(shù)量。工單管理適用于中大型的安全運(yùn)維團(tuán)隊(duì)協(xié)同化、流程化地進(jìn)行告警處置與響應(yīng)，并且確保響應(yīng)過(guò)程可記錄、可度量、可考核。案件管理是現(xiàn)代安全事件響應(yīng)管理的核心能力。案件管理幫助用戶對(duì)一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置，并不斷積累該案件相關(guān)的痕跡物證 (IOC) 和攻擊者的戰(zhàn)技過(guò)程指標(biāo)信息 (TTP)。多個(gè)案件并行執(zhí)行，從而持續(xù)化地對(duì)一系列安全事件進(jìn)行追蹤處置。

事件響應(yīng)是SOC操作中非常復(fù)雜的部分，理想狀態(tài)下，它將是一個(gè)有效的動(dòng)態(tài)過(guò)程，涉及數(shù)十種相互關(guān)聯(lián)的技術(shù)、IT、業(yè)務(wù)流程和整個(gè)組織的人員，將是持續(xù)性適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估（Continuous Adaptive Risk and Trust Assessment, CARTA）策略用于在持續(xù)監(jiān)測(cè)和可視性方面時(shí)，SOC團(tuán)隊(duì)可使用SOAR技術(shù)執(zhí)行連續(xù)活動(dòng)，利用SOAR技術(shù)通過(guò)智能化編排與響應(yīng)最大程度的將已有安全技術(shù)進(jìn)行整合，提高整個(gè)安全事件的解決能力和效率。基于編排和自動(dòng)化前期對(duì)事件的分析，SOAR所提供的響應(yīng)技術(shù)是完善整個(gè)事件生命周期，提高解決安全威脅效率的關(guān)鍵一環(huán)。本質(zhì)上，SOAR的最終目標(biāo)是促進(jìn)安全團(tuán)隊(duì)對(duì)事件有全面的、端到端的理解，完成更好、更明智響應(yīng)。

五、SOAR的價(jià)值

1、縮短響應(yīng)時(shí)間
通過(guò)自動(dòng)化技術(shù)，盡可能多的自動(dòng)完成一個(gè)安全事件處置流程中相關(guān)步驟，從而縮短響應(yīng)時(shí)間即 MTTR。
2、釋放人力
讓安全專家從繁重的重復(fù)勞動(dòng)中釋放出來(lái)，將時(shí)間放在更有價(jià)值的安全分析、威脅獵捕、流程建立等工作上。
3、安全運(yùn)營(yíng)流程標(biāo)準(zhǔn)化
將公司的安全運(yùn)營(yíng)流程數(shù)字化管理起來(lái)，每一次安全事件的對(duì)應(yīng)處置過(guò)程都在統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一步驟下執(zhí)行，有跡可循。避免人員能力的差距導(dǎo)致的處置實(shí)際效果不可控。
4、避免能力斷層
將安全專家的經(jīng)驗(yàn)固化成處置預(yù)案Playbook，讓不同的人都可以遵循同樣的方法來(lái)完成特定安全事件的處置流程，避免因?yàn)閭€(gè)人的離職導(dǎo)致某個(gè)領(lǐng)域的安全能力缺失。
5、運(yùn)營(yíng)流程指標(biāo)可度量
因?yàn)檫\(yùn)營(yíng)流程都通過(guò) Playbook 數(shù)字化管理且每一次的執(zhí)行過(guò)程都記錄在案，因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可評(píng)估、可度量、可追蹤。
6、安全運(yùn)營(yíng)決策支撐
通過(guò)對(duì)公司的所有運(yùn)營(yíng)流程數(shù)字化管理、數(shù)字化執(zhí)行、數(shù)字化KPI評(píng)估后，管理者可以有效的評(píng)估什么流程基本無(wú)用，什么流程執(zhí)行效率不高，什么流程發(fā)揮了最大的作用，甚至什么安全設(shè)備在所有流程中被使用的價(jià)值最大。從而為以后的安全投資決策，安全團(tuán)隊(duì)建設(shè)決策提供有價(jià)值的數(shù)值化支撐。

六、SOAR與其他安全產(chǎn)品的關(guān)系

SOAR定位于安全運(yùn)營(yíng)操作平臺(tái)，它收集不同來(lái)源的安全威脅數(shù)據(jù)和警報(bào)，事件來(lái)源于其他的態(tài)勢(shì)感知平臺(tái)、SIEM、日志分析系統(tǒng)或安全人員人工錄入需要處理的事件。通過(guò)調(diào)用安全設(shè)備的能力如：情報(bào)平臺(tái)、資產(chǎn)管理平臺(tái)、漏洞掃描平臺(tái)、EDR管理平臺(tái)、運(yùn)維管理平臺(tái)、工單管理平臺(tái)、WAF設(shè)備、防火墻來(lái)實(shí)現(xiàn)對(duì)安全事件的分析、溯源、取證、處置、通知等。一端接安全事件源，一端對(duì)接安全設(shè)備能力。通過(guò)SOAR本身的編排能力將人員、設(shè)備、資源、流程協(xié)同起來(lái)。每個(gè)企業(yè)部署流程和技術(shù)并不相同，SOAR在實(shí)際落地應(yīng)用過(guò)程中并不能“即插即用”，需要對(duì)接事件源、對(duì)接各類(lèi)聯(lián)動(dòng)處置設(shè)備，根據(jù)企業(yè)具體的實(shí)際情況定制劇本流程。對(duì)接的實(shí)際安全設(shè)備能力數(shù)量以及劇本的積累，是SOAR平臺(tái)能夠很好的支持運(yùn)營(yíng)的關(guān)鍵。

作者博客：http://xiejava.ishareread.com/

總結(jié)

以上是生活随笔為你收集整理的认识SOAR-安全事件编排自动化响应的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。