SOAR可從SIEM等收集報警信息 目標是將安全編排和自動化

投稿人/來源:中國IC圈 | 2019-10-25 10:24:58 |

隨著企業組織面臨越來越多的威脅,為了能夠進行快速、持續地響應,安全人員不得不與復雜操作流程以及匱乏的資源、技能和預算等做斗爭。青藤云安全坦言,很多企業由于安全和運維人員短缺,更希望能夠通過自動化方式而不是人工方式去執行重復任務。以勒索軟件為例,為了有機會控制其在企業組織中橫向滲透的威脅,企業需要能在幾分鐘內快速完成響應。在這樣情況,企業組織只能通過將更多任務派發給機器以減少響應時間。

但是當下,以SOC為代表安全監控系統,不僅成本高昂,而且會產生大量誤報。如果安全人員以手工的方式處理大量警報分類,很容易導致忽略真實且有危害的事件。減少響應時間(包括事件遏制和補救)是控制安全事件影響的最有效方法之一。雖然在各個行業威脅檢測的平均時間呈下降趨勢,但仍然需要很長時間。對于大多數企業來說,快速發現威脅并作出響應和補救措施仍然面臨巨大挑戰。

在這樣的背景下,安全編排、自動化與響應(SOAR)技術的需求迎來大幅增長。SOAR出現可以解決響應過程中人員短缺、改進警報分類質量和速度、減少響應時間、降低安全人員工作壓力等問題。

1.SOAR進化發展

根據Gartner預測,到2022年,有30%大型企業組織(安全團隊超過5人)將在安全和運維的工作中使用SOAR,這一比例遠超當下5%。當下SOAR技術的早期擁護者是那些已經擁有成熟安全運維中心,并且能夠理解SOAR帶來好處的那些成熟的安全組織。

2015年,可以定義為SOAR的1.0時代。Gartner將SOAR(當時被認為是“安全運維分析和報告”)描述成為安全運維團隊提供機器可讀的安全數據報告和分析管理功能的產品。2017年,SOAR進入2.0時代。Gartner提出了“安全編排、自動化及響應”(SOAR)這個術語,用以描述脫胎于事件響應、安全自動化、場景管理和其他安全工具的一系列新興平臺。Gartner觀察到三種以前截然不同的技術:安全編排和自動化(SOA)、安全事件響應平臺(SIRPs)和威脅情報平臺(TIPs),正在逐步融合到一起,如下圖所示。

1

不同時代SOAR類別

根據Gartner2019年最新定義,SOAR是指能使企業組織從SIEM等監控系統中收集報警信息,或通過與其它技術的集成和自動化協調,提供包括安全事件響應和威脅情報等功能。SOAR技術市場最終目標是將安全編排和自動化(SOA)、安全事件響應(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。

這種融合到2019年仍然持續進行中。例如,在Splunk收購Phantom之后,SOAR可能會嵌入到它的SIEM中,并用于IT操作場景。SOAR 技術仍然在快速演化,內涵未來仍可能會變化,但其圍繞安全運維,聚焦安全響應的目標不會改變。例如基礎設施監視、應用程序性能監視和故障排除。

2.SOAR核心功能

雖然SOAR能夠為安全人員提供自動化工具來提高他們的工作效率,極大增強了威脅檢測和響應等活動安全效果。但是SOAR工具也并非萬能“銀彈”,很多人都認為它將把警報功能與防火墻、入侵檢測和預防系統(IDPS)和端點保護平臺(EPPs)等預防性工具集連接起來。

實則不然,SOAR技術的功能是使企業組織的安全團隊能夠收集監控數據,例如警報,并能夠實現部分自動化地進行事件分析和分類過程。這些功能目的是在幫助安全人員根據預定義的工作流,確定優先級并推動標準化的事件響應活動。就目前而言,SOAR 的三大核心技術能力分別是安全編排與自動化、安全事件響應平臺、威脅情報平臺。

(1)安全編排與自動化(SOA):這是SOAR的核心能力和基本能力

安全編排 (Orchestration) 是指將客戶不同的系統或者一個系統內部不同組件的安全能力通過可編程接口 (API) 和人工檢查點,按照一定的邏輯關系組合到一起,用以完成某個特定安全操作的過程。

SOAR中的關鍵詞是編排,這是在使用自動化和響應之前必須構建的關鍵組件。編排,就像音樂指揮家編排樂隊來傳遞音樂一樣。未來所有安全設備都會被打散成API和數據,根據數據建立指標,API則對這些數據進行操控編排。從現在市場可以看到是,以青藤云安全為代表新一代安全廠商,都采用了核心平臺引擎化的技術。

所謂的引擎化就是可以迅速把安全想法變成現實可用的功能,而要支撐這個能力技術就是Full API和安全編排能力。而實現安全平臺引擎化包括三個核心要素:靈活的數據生成能力、機器學習能力、模型快速驗證能力。

安全自動化 (Automation) 在這里特指自動化的編排過程,也就是一種特殊的編排。如果編排的過程完全都是依賴各個相關系統的 API 實現的,那么它就是可以自動化執行的。與自動化編排對應的,還有人工編排和部分自動化(混合)編排。

不論是自動化的編排,還是人工的編排,都可以通過劇本 (playbook) 來進行表述。而支撐劇本執行的引擎通常是工作流引擎。為了方便管理人員維護劇本,SOAR 通常還提供一套可視化的劇本編輯器。

劇本是面向編排管理員的,讓其聚焦于編排安全操作的邏輯本身,而隱藏了具體連接各個系統的編程接口及其指令實現。SOAR 通常通過應用 (App) 和動作 (Action) 機制來實現可編排指令與實際系統的對接。應用和動作的實現是面向編排指令開發者的。

(2)安全事件響應平臺(SIR):這是SOAR的關鍵功能

通常,安全事件響應包括告警管理、工單管理、案件 (Case) 管理等功能。告警管理的核心不僅是對告警安全事件的收集、展示和響應,更強調告警分診和告警調查。只有通過告警分診和告警調查才能提升告警的質量,減少告警的數量。

工單管理適用于中大型的安全運維團隊協同化、流程化地進行告警處置與響應,并且確保響應過程可記錄、可度量、可考核。

案件管理是現代安全事件響應管理的核心能力。案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置,并不斷積累該案件相關的痕跡物證 (IOC) 和攻擊者的戰技過程指標信息 (TTP)。多個案件并行執行,從而持續化地對一系列安全事件進行追蹤處置。

(3)威脅情報平臺(TIP):這是SOAR的重要功能

威脅情報平臺是通對多源威脅情報的收集、關聯、分類、共享和集成,以及與其它系統的整合,協助用戶實現攻擊的阻斷、檢測和響應。威脅情報主要是以服務而非平臺的形式存在。

此外,隔離跟修復,也是響應之后一個重要操作。包括文件隔、文件刪除、進程網絡隔離、進程殺死/阻塞、進程隔離和基于哈希的阻止等等。

3.SOAR部署條件

每個企業部署流程和技術并不相同,因此并不能“即插即用”,而是需要數周專業的安全服務才能完成初始化的場景部署。在早期時候,安全編排和自動化是以單點安全解決方案形式在那些預定義和自動化的工作流中工作。在準備部署實施SOAR之前,需要先擁有一組已經定義好的工作流和業務流。開箱即用和集成雖然可以實現,但是真正運行還是少不了定制化的工作。利用專業服務和內部資源的組合,為SOAR工具的實施和運行制定計劃。

因此,安全編排、自動化和響應工具適合那些為提高安全處理效率而對運營流程進行了清晰又正確分層的企業組織。安全人員在決定購買SOAR之前,應該認真評估當前安全運營中效率不高的那些流程是否能夠通過SOAR工具就可以得到很好提升。

2

基于工作業務流驅動的流程

在使用SOAR平臺前必須具有定義良好的內部流程,而構建這些內部流程需要來自內部人員的技能,而這些技能在平臺上是買不到的。每個事件都應該遵循一個流程來為特定的事件(通常稱為劇本)構建正確的編排。在定義流程時,安全和運維人員通常會使用觀察、調整、決策和行動(OODA)循環,在使用SOAR工具前也可使用這個循壞:

(1)觀察事件并確定發生了什么。

(2)確定觀察的方向,并添加上下文來確定觀察的含義。

(3)根據業務的風險容忍度和能力決定適當的響應行動。

(4)根據決定采取行動,并應用到觀察過程中,然后重復。

3

與OODA相關的檢測流程

雖然SOAR平臺能夠消除現有員工當前執行的單調、重復任務的需求,但是SOAR本身并不能代替人類。SOAR技術可以幫助安全和運維團隊更快地從決策點a移動到決策點B,但是所選擇的路徑以及如何在該路徑上做出決定是需要人工交互的技能。

在SOAR產品中定義良好的劇本可以創建更高效的決策速度。但是具體響應執行過程還要由業務環境中事件的上下文、業務風險的容忍度以及安全運維之外的團隊的能力來驅動。因此,我們只能將SOAR應用于已經預想可能會發生的并且知道如何響應的安全場景中。

有些SOAR供應商為特定的場景預定義了劇本,可以根據需求將劇本拖放到響應場景中,這在一定程度上可以幫助企業克服構建整體編排和響應操作的挑戰,但這也并不是維護SOAR平臺長期發揮作用的解決方案。

SOAR功效發揮除了依賴于清晰流程和豐富的預定義劇本之外,通常還需要具有特定編碼和腳本技能的內部團隊成員來運維SOAR平臺。除了劇本和響應的維護,還需要安全人員能夠提供API能力用于連接各種安全工具 (如SIEM、EDR、NGFW等)。

4.SOAR場景價值

由上文可知,SOAR是由三種技術解決方案(安全編排和自動化、威脅情報平臺和事件響應平臺)融合而成的概念。市場上最初并沒有SOAR廠商,因此許多來自不同領域的廠商,開始從不同的角度來構建他們自己的SOAR解決方案。為此,不同SOAR提供了不同價值,主要可以分為三類:增強SIEM管理、創建更好調查平臺、優化安全團隊管理和流程管理。盡管這些價值可能會重疊或具有一定的包含性,但SOAR廠商如何打造推廣自家SOAR價值將會影響他們的市場潛力。

4

SOAR價值

不管提倡哪類價值,SOAR都不是SIEM下一代,也不是取證或合規管理工具的替代者。SOAR的定義相當寬泛,因此吸引了眾多廠商爭奪市場領導地位。許多供應商已從他們現有的解決方案轉向了SOAR提供商。因此,不同安全廠商產品有不一樣價值賣點,進而可吸引不同甲方企業和不同角色的人員購買。

目前,SOAR在企業組織中最常見的使用場景是通過數字工作流方式,定義事件分析和響應過程。通過對劇本等工具有效利用,以及威脅情報在安全運維中的使用,從而增強企業組織在面臨威脅時預測、防御、檢測和響應能力。


福彩3d先进宝图高清