作者:盛华安
SOAR 的产生背景
随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。
正是在这样的背景下,在国际上,检测和响应类产品受到了极大的关注。放眼国内,更多的注意力集中到了新型检测产品,尤其是未知威胁检测领域。借助这些产品和技术,用户获得了更低的 MTTD(平均检测时间),能够更快更准确地检测出攻击和入侵。但是,这些产品和技术大都没有帮助用户降低 MTTR(平均响应时间)。事实上,对于用户而言,更快地检测出问题仅仅是第一步,如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候,不能仅仅从单点(譬如单纯从端点或者网络)去考虑,还需要从全网整体安全运维的角度去考虑,要将分散的检测与响应机制整合起来。而这,正是 SOAR 要解决的问题。
SOAR的演变和定义
SOAR 的全称是 Security Orchestration, Automation and Response,意即安全编排自动化与响应。该技术聚焦安全运维领域,重点解决(但不并不限于)安全响应的问题,最早由 Gartner 在 2015 年提出。当时,Gartner 将 SOAR 定义为 Security Operations, Analytics, and Reporting(安全运维分析与报告)。随着安全运维技术的快速发展与演变,到了 2017 年,Gartner 重新将 SOAR 定义为安全编排自动化与响应,并将其看作是安全编排与自动化 (SOA, Security Orchestration and Automation)、安全事件响应平台 (SIRP, Security Incident Response Platform) 和威胁情报平台 (TIP, Threat Intelligence Platform) 三种技术/工具的融合。Gartner 认为,SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。
Gartner 对 SOAR 的最新描述性定义(摘自 Gartner 报告《Hype Cycle on Threat-Facing Technologies, 2018》) 是:SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。
目前,SOAR 技术正处于青春期,位于炒作曲线的上升阶段,尚未达到炒作的顶点。
SOAR的三大核心技术解析
就目前而言,SOAR 的三大核心技术能力分别是安全编排与自动化、安全事件响应平台、威胁情报平台。
1. 安全编排与自动化:这是SOAR的核心能力和基本能力
安全编排与安全自动化是两个不同的概念。其中,安全编排 (Orchestration) 是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口 (API) 和人工检查点,按照一定的逻辑关系组合到一起,用以完成某个特定安全操作的过程。譬如用户针对一封收到的可疑邮件进行深入检测与响应(操作)的过程可以分解为根据拆解出来的发件人、URL 链接和 IP 等信息查询威胁情报系统,将附件送入沙箱系统进行分析,并根据情报系统和沙箱系统返回的信息进一步决定是否要通知邮件系统删除该邮件或者附件,是否要通过 EDR 获取收件人终端上的进一步信息做分析,等等。上述这个可疑邮件分析的过程就是一个将邮件系统、威胁情报系统、沙箱系统、EDR 等等系统通过一定的逻辑编排到一起的实例。
安全自动化 (Automation) 在这里特指自动化的编排过程,也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的 API 实现的,那么它就是可以自动化执行的。与自动化编排对应的,还有人工编排和部分自动化(混合)编排。
不论是自动化的编排,还是人工的编排,都可以通过剧本 (playbook) 来进行表述。而支撑剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本,SOAR 通常还提供一套可视化的剧本编辑器。
剧本是面向编排管理员的,让其聚焦于编排安全操作的逻辑本身,而隐藏了具体连接各个系统的编程接口及其指令实现。SOAR 通常通过应用 (App) 和动作 (Action) 机制来实现可编排指令与实际系统的对接。应用和动作的实现是面向编排指令开发者的。
2. 安全事件响应平台:这是SOAR的关键功能,但也可以独立于SOAR存在
安全事件 (Incident) 响应平台在 SOAR 出现之前就一直存在,顾名思义就是一个针对 Incident 进行响应和处置的平台。但 SOAR 出现后,安全事件响应与安全编排与自动化的结合使得响应的能力获得了极大的提升。通常,安全事件响应包括告警管理、工单管理、案件 (Case) 管理等功能。
告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。
工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。
案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。
3. 威胁情报平台:这是SOAR的重要功能,但也可以独立于SOAR存在
威胁情报平台 (TIP) 是 Gartner 在 2014 年定义的一个细分市场,通多对多源威胁情报的收集、关联、分类、共享和集成,以及与其它系统的整合,协助用户实现攻击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。目前 TIP 市场规模不大,厂商不多,有的是独立存在,有的依附于威胁情报服务,还有的跟安全响应结合,融合到 SOAR 里面。
通过上面的分析,我们可以发现,SOAR 作为安全运维的综合响应平台,具有极强的支撑作用。Gartner 认为,现代 SOC (Modern Security Operations Center) 将至少包括现代SIEM (Modern SIEM,即集成了 UEBA 的 SIEM) 和 SOAR。也就是说,SOAR 将作为现代 SOC 中安全运维与响应的支撑平台。Gartner 估计,到 2021 年,70% 的 SOC 将包括 SOAR 能力。这其中,既可能是 SIEM 附带的 SOAR,也可能是独立 SOAR 平台。
通过在 SOC 中实现 SOAR,不仅可以完善 SOC 的安全响应的能力,尤其是编排和自动化能力,以及响应管理能力,并且能在整体上提升 SOC 的效能,包括安全事件调查分析(含MTTD)的速度、安全响应 (MTTR) 的速度、将分散的安全系统整合的能力,以及单个安全运维人员的生产率。
SOAR技术落地实践
SOAR 的价值和作用已经相当明显。当前,国际上已经出现了多家 SOAR 专业厂商,而不少 SIEM 国际厂商也都推出(收购)了 SOAR 产品和功能。
目前国际上典型的专业 SOAR 厂商基本都是创业公司,主要包括:CyberSponse、DFLabs、Resolve Systems、Respond Software、Siemplify、Swimlane等。而主要的安全大厂尤其是 SIEM 大厂则纷纷收购 SOAR 公司,并对其进行整合,譬如:IBM 收购 Resilient 与 QRadar 整合,Splunk 收购 Phantom,rapid7 收购 komand,微软收购 Hexadite,FireEye 收购 Invotas ,Palo Alto Networks 收购 Demisto,而 SIEM 领先厂商如 LogRhythm、Exabeam、Securonix则纷纷推出了集成版的轻量级的安全响应编排自动化组件。
反观国内,尚没有出现专业的 SOAR 厂商,也没有安全管理平台厂商正式发布 SOAR 产品或功能。究其原因,SOAR 能力的获得并非一朝一夕之功,需要深厚的安全运维技术积累。
正是在这样的背景下,作为国内具备十几年安全管理与运维技术积累和实践经验的盛华安创业技术团队,从 4 年前就注意到了 SOAR 技术,经过长期的调研,以及近 1 年的潜心研发,于 2019 年 7 月底国内率先发布了 Cybersky-SOAR。
盛华安的 Cybersky-SOAR 主要包括告警管理、案件管理、工单管理、安全编排与自动化、威胁情报应用五大功能。
下面通过对 Cybersky-SOAR 的核心功能描述,进一步阐释 SOAR 的技术特点。
下图不失一般性地展示了安全告警、案件管理、工单管理和安全编排自动化的功能组成及其相互关系:
告警管理
CyberSky-SOAR 告警管理包括告警分诊、告警调查、告警响应和告警库四个功能。其中最核心的是告警分诊和告警调查,这也是区别于传统 SIEM/SOC 平台的告警管理功能的关键之处。告警分诊一方面能够自动化地聚合告警信息,减少管理员需要查看的告警数量,同时还能自动地计算告警的可信度和处置优先级,帮助管理员聚焦关键的告警。告警调查是指针对告警信息的补充调查分析,剔除虚警,并将模糊的、低质量的告警变成高质量、有价值的告警的过程。在进行告警调查的时候,运维管理员可以调用安全编排与自动化的剧本或者动作,对告警进行增强,并最终通过告警透视获得对告警信息全面的可见性,尽可能清晰、精准地将这个告警的相关信息呈现出来,方便管理员进行研判。
案件管理
CyberSky-SOAR 案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置。通过案件的流程处理功能,可以为不同性质的案件指派不同的案件处理流程,并监督执行;借助案件的工件 (Artifacts) 管理功能,可以不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP);而通过编排调查与响应功能,可以对案件中的任何工件执行剧本或者动作,拓线追踪,深挖疑点、丰富案件信息。
下图展示了 CyberSky-SOAR 的某个案件管理的界面:
工单管理
CyberSky-SOAR 具备标准的工单管理功能,支持用于突发性告警响应的一次性工单和日常(重复性)工单。工单流转和处理过程全程记录。工单管理技术比较成熟,这里不再赘述。
安全编排与自动化
安全编排与自动化是 CyberSky-SOAR 的核心功能,实现了剧本的编辑维护,以及应用和动作的管理。安全编排与自动化的核心是剧本库和应用库(动作库)。这些库可以被安全分析、告警管理和案件管理等功能随时调用。通过该功能,真正实现了 SOAR 将不同的系统协同联动起来的目标,就像一个交响乐对的指挥。
下图不失一般性地展示了剧本、应用、动作和被调用设备/系统之间的关系,以及它们被使用的方式。
下图展示了 CyberSky-SOAR 的一个典型的剧本可视化编辑界面:
威胁情报应用
威胁情报应用功能的核心将外部的威胁情报与用户自身网络中收集到的告警信息进行情报比对分析和印证。
威胁情报应用既可以用在安全分析的时候,也可以用在告警调查、案件管理的时候。
下图展示了在案件管理中调用外部威胁情报系统 (VirusTotal) 动作的界面:
Cybersky-SOAR 较为完整地实现了 Gartner 对 SOAR 定义的核心能力,因而是真正意义上的 SOAR 产品,填补了国内产品空白。同时,盛华安 Cybersky-SOAR 的发布,也践行了公司成立之初提出的集数据摄取、数据存储、数据治理、监测分析、指挥调度与一体的闭环态势感知与管理技术架构的理念。