SOAR技术文章 【转载】SOAR 还面临着一条很难跨越的鸿沟

milktea · 2021年03月04日 · 54 次阅读

如果问当前安全圈儿热点的话,SOAR 无疑算是炙手可热的一个。相比当年威胁情报、态势感知的火爆,一点也毫不逊色。

SOAR 如何定位?

SOAR 最初(2015 年)被 Gartner 定义为安全运营、分析与报告(Security Operations、Analytics、Reporting)。

2017 年 Gartner 对 SOAR 进行重新定义,变成了现在广为人知的安全编排、自动化与响应(Security Orchestration, Automation and Response)。

按照 Gartner 的说法,SOAR 应该是由安全编排和自动化(SOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。

对比来看,对于安全运营最为关键的安全分析(Analytics)没有单独体现,我猜可能是 Gartner 认为安全分析(Analytics)应该是 SIEM 应该做的事情,或者是将安全分析(Analytics)包含在了安全事件响应(SIR)中了。

从 SOAR 整合要素中含有威胁情报平台(TIP)来看,将安全分析(Analytics)默认包含在了安全事件响应(SIR)中,这种可能性似乎更大一些。

这条鸿沟是什么?

安全事件响应(SIR)接受 SIEM 数据、威胁情报(TIP)数据及其它上下文信息,综合分析判定安全事件(Incident)的影响程度及可能性,并决策是否需要进行处置。

而安全编排和自动化(SOA)只是接收安全事件响应(SIR)的命令,按既定的剧本与安全设备或系统联动,进行自动化的处置。

由此可见,SOAR 的核心及难点是安全事件响应(SIR),而不是一直被捧吹的安全编排和自动化(SOA)。

可以说安全事件响应(SIR)是智囊,运筹帷幄帐中、决胜千里之外;安全编排和自动化(SOA)则是作战机要办公室,按既有命令制定并传达作战计划。

那为什么 SOAR 产品大部分都不太提分析与决策,重点强调编排与自动化响应呢?

因为安全分析与决策,像一道难以跨越的鸿沟,SIEM 产品难以解决,SOAR 产品也不愿面对。

为什么难以跨越?

抛开产品技术不谈,让我们回到安全分析与决策的实质,面对海量的安全数据,只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。

从风险管理的角度来说,作为海量安全数据的事件(Event)只代表一种客观的状态,初步分析提炼可以加工成需要关注的告警(Alert)。与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。

单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法体现处置的优先级。

告警(Alert)还需要进一步加工聚合,形成体现优先级的风险事件(Incident)。理论上来讲,风险事件(Incident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。

达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的安全事件(Incident)就是需要进行处置的,也就是安全事故(Accident)。

这条鸿沟为什么难以跨越非常明显,就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。

当前现状及总结

那么,目前业界能做到什么程度呢?普遍的情况是可以分析到告警(Alert)层面,但由于各种原因所致,告警(Alert)的准确率可以达到百分之六十以上,还可能有牺牲检测率的嫌疑。

而安全事件(Incident)的聚合呢,基本上就没有什么太好的效果,更别说自动化的进行安全判定与决策了。

虽然面临着难以跨越的鸿沟,也不是说 SOAR 就不再需要了,难以跨越并不是不能解决,再说除了安全分析这条线,还有安全事件处置知识库、剧本,以及安全生态、设备联动等方向,还是有很大的发展空间。

转载声明

本文转载自:https://www.secrss.com/articles/28026

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册