现代化SOAR的产品化落地(一)

阅读量    92254 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

作者:cyg07@360-CERT

0x00 SOAR近况

今年Gartner再次更新了SOAR(安全编排自动化响应)的定义,表达出了更高的期待:

定义6【2020】:SOAR平台是一类为人类安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。这里的团队不限于SIEM操作员或SOC分析师。这里的团队可以包括告警与分诊管理、事件响应人员、威胁情报、合规经理、威胁猎手。

定义7【2020年,安全运营炒作曲线】:SOAR是一类从各种来源获取输入,并应用工作流来拉通各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果,譬如分诊管理,事件响应,威胁情报,合规性管理和威胁猎捕。(参考1)

对于SOAR的定义不再只是单一的响应联动,而是寄望于它能够进一步促进SOC(安全运营中心)中人、技术、流程,三位一体的融合,加速PPDR模型中预测、防御、分析检测、响应过程。

反观SOAR在国内的市场都是不温不火的,归结下主要有几点原因:

  • 国内安全技术从业人员偏少,包括非技术类的整体从业人数也就十几万人(据调查),面对复杂如SOAR的平台也是无从下手;
  • 设备、接口碎片化过于严重,各设备谈不上接口标准化,生态不成熟,自家各盒子产品都不见得能用SOAR串起来;
  • 国内公有云厂商对于SOAR的安全建设多少乏力,公有云本是所有一流安全技术持续落地的优先场景;

前面两点就足以限制其市场地位,更不用说甲方用户、公有云、威胁情报提供商对它的认知了,所以目前多数安全厂商会选择兼顾市场需求的短平快联动功能进行产品开发,不会把功夫花在Gartner炒作和SOAR的绣花上。

任何一个新技术的尝试都需要一点点理想主义、加上现实的捶打,SOAR也不例外,面对着告警爆炸、人才/经验短缺、工具过量的痛点,SOAR作为由安全编排与自动化、威胁情报平台和事件响应平台融合而起的新兴安全解决方案,其所追求的人机协同自动化是解决这个痛点的方案之一,它是值得去探索的。

 

0x01 现代化SOAR的落地探索

假设下场景,当你作为安全分析与运营人员,作业于一个10万规模的IDC环境,历史原因分布在十几个大大小小的机房,架构并收集了一堆HIDS、IDS、WAF、RASP等日志,你的SIEM(安全事件管理)平台每天需要吐出大量的告警、漏洞、新漏洞,你需要进行分析研判、通报处置。最终,要么你每天只挑几个告警出来运营,要么普遍都会都会陷入告警疲劳。

那么除了进一步优化告警本身和联动那些设备外, SOAR能为这个问题提供什么解呢? SOAR可以让你可以站在综合型的安全运营视角里找到可以量化、标准化的抓手去提升你的安全运营成熟度,合理运用现有分析人员所积累的知识配合playbook(剧本)化的方式去驱动整个SOC(安全运营中心)的作业,在已有的运营手段基础上提供一个更加灵活和本地场景定制化的手段去优化提升安全运营效率。

而且SOAR中很重要的一点是,隐含了OODA(观察、调整、决策、行动)循环思想

(1) 观察事件并确定发生了什么;

(2) 确定观察的方向,并添加上下文来确定观察的含义;

(3) 根据业务的风险容忍度和能力决定适当的响应行动;

(4) 根据决定采取行动,并应用到观察过程中,然后重复;

虽然SOAR平台能够消除现有安全运营流程中执行的单调、重复任务的需求,但是SOAR本身并不能代替人类。SOAR技术可以帮助安全运营人员更快地从决策点a移动到决策点B,但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。

在SOAR产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此,我们只能将SOAR应用于已经预想可能会发生的并且知道如何响应的安全场景中。

所以,现代化SOAR除了需要完成从响应到分析调查的升华,完成SOC效率、MTTR的提升,还需要做到知识的留存等。在实际过程中对接SIEM, XDR, 资产,云端威胁情报等,以Playbook(剧本化)的形式,融合分析人员的知识来驱动下层的自动化编排引擎、作战室协作、案例化管理、威胁情报管理等方式实现一个安全运营体系的升级。

SOAR中的三个基本功能(还在持续演进)——Playbook的编排自动化、沉淀知识的案例化管理

  • 使用Playbook联动云端和本地的安全产品;

如前所述,现代化SOAR除了需要联动诸如FW、NTA、EPP等相关本地化设备外,有很重要的一点是需要联动云端的威胁情报中心,通过云端威胁情报、全网资产测绘等接口来快速补充事件威胁上下文信息,实现对具体事件的洞察,提供决策支撑。

  • 现代化SOAR的案例管理

SOAR的案例管理主要用于帮助安全团队管理安全事件,进行上下文协作并共享数据以有效解决事件。

警报处理和分类。SOAR工具收集并分析通常从SIEM中获取的安全性数据,将数据关联起来以识别优先级和严重性,并自动生成事件以进行调查。该事件已包含相关的上下文信息,使分析人员可以进行进一步调查。这样就无需人工来注意相关的安全数据,将其识别为安全事件并在系统中手动设置事件。

案例管理该工具可以记录安全团队的行动和决策,使整个组织以及外部审计人员可以看到它们。随着时间的流逝,SOAR工具会创建一个由团队知识组成的知识库,包括威胁、事件、作战室、历史响应和决策及其结果。

威胁情报管理SOAR工具可从开源数据库,行业领导者,协调响应组织以及商业威胁情报提供者那里获取威胁数据。 SOAR工具将相关的威胁信息附加到特定事件,并使分析人员在调查事件时可以轻松访问威胁情报。

攻防视角对接。由于对接了所有的安全数据和接口,理论上SOAR拥有的视角是本地中最全的,所以在SOAR中引入安全攻防视角的案例管理是卓有成效的做法,比如对接ATT&CK和钻石模型的攻防视角,各设备都统一用该方式去描述攻击方法。

 

0x03 小结

本篇文章简要介绍了下360-CERT团队在现代化SOAR解决方案部分产品化落地探索,期待现代化SOAR解决方案能成为当代SOC建设的中心枢纽。

下一篇见,谢谢。

 

0x04 参考

1.《Gartner对SOAR的定义不断变化》

https://mp.weixin.qq.com/s/X0BoaaFG1a-p5xymokC1YQ

2.《SOAR可从SIEM等收集报警信息 目标是将安全编排和自动化》

https://blog.csdn.net/zy_zhengyang/article/details/106035800

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多