淺談企業(yè)安全管理中SOAR技術(shù)的應(yīng)用

　　摘要：互聯(lián)網(wǎng)在給人們的生活帶來便利的同時，各種網(wǎng)絡(luò)安全威脅也不斷發(fā)生，特別是數(shù)據(jù)泄露、DDoS 攻擊以及僵尸網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)攻擊日益嚴(yán)峻，傳統(tǒng)的安全防護(hù)手段已難以應(yīng)對。網(wǎng)絡(luò)安全的攻防對抗越來越激烈，在網(wǎng)絡(luò)防護(hù)上單純的防范和阻止措施已經(jīng)無法滿足網(wǎng)絡(luò)安全需求，必須更加重視檢測和響應(yīng)。企業(yè)應(yīng)當(dāng)構(gòu)建一個集阻斷、檢查、響應(yīng)、預(yù)防為一體的新的安全防護(hù)系統(tǒng)。而基于 SOAR 技術(shù)框架下構(gòu)建的安全管理平臺可以實(shí)現(xiàn)并滿足企業(yè)在新形勢下的網(wǎng)絡(luò)安全需求。

　　趙少飛; 楊睿超， 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 發(fā)表時間：2021-08-05

　　關(guān)鍵詞：SOAR;安全編排;響應(yīng)

　　1 什么是 SOAR

　　SOAR 的全稱是 SecurityOrchestration，AutomationandResponse，意即安全編排自動化與響應(yīng)。該技術(shù)以安全運(yùn)行和維護(hù)的領(lǐng)域?yàn)榻裹c(diǎn)，重點(diǎn)解決安全響應(yīng)的問題，最早由 Gartinr 在 2015 年提出。當(dāng)時， Gartner 將 SOAR 定義為 SecurityOperations，Analytics and Reporting (安全運(yùn)維分析與報告)。隨著網(wǎng)絡(luò)安全技術(shù)的快速演變，Gartner 對 SOAR 進(jìn)行重新定義，定義為安全編排自動化和響應(yīng)。并將其看作是安全編排與自動化、安全事件響應(yīng)平臺和威脅情報平臺三種技術(shù)的融合。SOAR 從各種來源獲取輸入，通過工作流的方式聯(lián)通各種安全過程和規(guī)程，向安全運(yùn)營者提供安全自動化管理解決方案。這些過程和規(guī)程(通過與其他技術(shù)的整合)被編制，自動執(zhí)行，可以達(dá)到預(yù)期的結(jié)果。例如威脅管理、事件應(yīng)答、威脅信息、合規(guī)管理。

　　2 SOAR 的核心技術(shù)

　　SOAR 的三大核心技術(shù)分別是安全編排和自動化、安全事件響應(yīng)平臺和威脅信息平臺。

　　2.1 安全編排與自動化

　　所謂安全編排，是指通過可編程接口(API)和人工檢查點(diǎn)，將企業(yè)不同系統(tǒng)或系統(tǒng)內(nèi)不同組件的安全能力安裝一定邏輯關(guān)系進(jìn)行組合以完成特定的安全操作。例如，可以將對用戶接收的可疑郵件進(jìn)行深度檢測和響應(yīng)(操作)的過程進(jìn)行分析，將郵件的發(fā)送者、URL 鏈路、IP 等作為基本信息查詢威脅信息系統(tǒng)。將附件發(fā)送到沙箱系統(tǒng)進(jìn)行分析，根據(jù)從威脅信息系統(tǒng)和沙箱系統(tǒng)返回的信息，通知郵件系統(tǒng)，進(jìn)一步?jīng)Q定是否刪除該郵件或附件，是否通過 EDR 獲得收件人終端上的進(jìn)一步信息進(jìn)行分析。上述可疑郵件分析的過程是將郵件系統(tǒng)、威脅信息系統(tǒng)、沙箱系統(tǒng)、EDR 等系統(tǒng)按一定邏輯組合而成的例子。安全自動化(Automation)在這里特別是指自動化的編排過程，即特殊的編排。如果配置過程是根據(jù)完全相關(guān)聯(lián)的每個系統(tǒng)的 API 來實(shí)現(xiàn)的，則可以自動執(zhí)行。

　　2.2 安全事件響應(yīng)平臺

　　安全事件響應(yīng)平臺在 SOAR 出現(xiàn)之前就存在。它是對 Incident 的響應(yīng)和處理的平臺。但是，SOAR 出現(xiàn)后，安全事件響應(yīng)、安全組織和自動化的組合大大提高了響應(yīng)能力。通常，安全事件響應(yīng)包括警報管理、日程管理、案件管理等功能。

　　警報管理的核心不僅是安全事件的收集、展示和響應(yīng)，更是強(qiáng)調(diào)了警報分診和警報搜查。只有通過警告分診和警報調(diào)查，才能提高警告質(zhì)量，減少警告數(shù)量。

　　工單管理適用于中大型安全運(yùn)行維護(hù)團(tuán)隊聯(lián)合化、流化報警處理和響應(yīng)，確保響應(yīng)過程可記錄、可測量、可審查。

　　事件管理是現(xiàn)代安全事件響應(yīng)管理的核心能力。事件管理有助于用戶對一系列相關(guān)警報進(jìn)行處理，并持續(xù)進(jìn)行調(diào)查分析和響應(yīng)處理。關(guān)于這個事件的痕跡物證(IOC)和攻擊者的戰(zhàn)術(shù)過程指標(biāo)信息(TTP)不斷累積。同時執(zhí)行多個事件，并持續(xù)跟蹤一系列安全事件。

　　2.3 威脅情報平臺

　　威脅信息平臺協(xié)助用戶通過與多源威脅信息的收集、關(guān)聯(lián)、分類、共享、集成以及其他系統(tǒng)的匹配來實(shí)現(xiàn)攻擊的截斷、檢測、響應(yīng)。

　　3 SOAR 在企業(yè)運(yùn)維中的優(yōu)勢

　　將 SOAR 技術(shù)運(yùn)用到企業(yè)運(yùn)維管理中，可以彌補(bǔ)傳統(tǒng) SOC 運(yùn)營中常見的一些短板，具體表現(xiàn)為：

　　3.1 企業(yè)運(yùn)維中事多人少的狀況

　　企業(yè)在安全運(yùn)維過程中常常面臨有限的運(yùn)維人員，大量的運(yùn)維事件和告警，雖然利用傳統(tǒng)的 soc 系統(tǒng)可以處理部分事件和告警，但是在重大時期或緊急情況下，面對大量不同的事件和告警，人工無法及時有效處理，會導(dǎo)致系統(tǒng)處于危險狀態(tài)。同時，也對運(yùn)維人員造成很大的工作壓力，導(dǎo)致運(yùn)維工作容易出錯。

　　3.2 企業(yè)運(yùn)維響應(yīng)時間較長

　　從響應(yīng)方案的確定到執(zhí)行，除了隊伍的內(nèi)部協(xié)作之外，還需要加入 EDDR/NDR 設(shè)備。手動執(zhí)行鎖定等操作，可能需要在不同的系統(tǒng)和工具之間進(jìn)行切換，涉及需要審批流程時，無法及時進(jìn)行響應(yīng)，無法短時間對危險或破壞進(jìn)行阻斷。

　　3.3 運(yùn)維人員知識積累不足

　　企業(yè)在進(jìn)行事件響應(yīng)處置時，針對某個具體的安全事件，需選擇相適應(yīng)的處置方式，必須擁有豐富的運(yùn)維處置經(jīng)驗(yàn)的運(yùn)維人員才能及時快速進(jìn)行事件響應(yīng)處理。而 SOAR 可以將這些運(yùn)維人員的處置經(jīng)驗(yàn)，按照固定的留存并且進(jìn)行固化，形成案例庫。案例庫就是 SOAR 的一個主要功能，其固化了安全專家的經(jīng)驗(yàn)，運(yùn)維響應(yīng)可以借鑒案例庫中的響應(yīng)流程對運(yùn)維事件繼續(xù)處置。

　　4 SOAR 在企業(yè)安全管理中的作用

　　網(wǎng)絡(luò)攻擊隨時可能發(fā)生。一般情況，攻擊者首先開始攻擊。運(yùn)維人員可能會發(fā)現(xiàn)異常并進(jìn)行防守。防守具有一定的延遲性，特別是人工防守，涉及制定防守計劃、多人合作、多設(shè)備聯(lián)動、審查、工作流等，響應(yīng)時間可能會花費(fèi)較長時間。

　　SOAR 有助于將復(fù)雜的事件響應(yīng)過程轉(zhuǎn)換為一致的、可重復(fù)的、可測量的工作流。SOAR 將多個系統(tǒng)和平臺聯(lián)動，調(diào)整不同的安全工具和技術(shù)，以人和技術(shù)結(jié)合方式編入到業(yè)務(wù)流程中，為了簡化安全流，創(chuàng)建手動和自動協(xié)作操作的工作流步驟，加快事件響應(yīng)，減少事件響應(yīng)時間。

　　完整的安全運(yùn)營中心是人、技術(shù)、流程的集合體。以 SIEM 技術(shù)為中心的 SOC 平臺或安管平臺致力于為安全運(yùn)行運(yùn)維人員提供一個技術(shù)平臺。但實(shí)際上從來沒有實(shí)現(xiàn)人和技術(shù)的統(tǒng)一，至于流程管理就更不用說了。人、流程和 SOC 平臺之間總是有間隙的。SOAR 正好填補(bǔ)這一空白，以整合人、流程和技術(shù)為使命，使我們向真正的 SOC 又邁進(jìn)了一步。