如果问当前安全圈儿热点的话,SOAR 无疑算是炙手可热的一个。相比当年威胁情报、态势感知的火爆,一点也毫不逊色。
SOAR 相关的创新产品、科普知识和媒体宣传铺天盖地,但传达出来都是 “积极”、“乐观” 的高大上信息,似乎从来没有关于应用 SOAR 面临的困难与困惑的内容。
这说明 SOAR 目前只是在试水阶段,而缺乏真正的实践效果。
客观上来讲,安全运营需要向前继续发展,就要有相应的技术创新来进行牵引,向前发展之后应该出现 SOAR。而现在是把安全运营向前发展寄托在 SOAR 上,希望通过 SOAR 启到牵引作用。
简单来讲就是,SOAR 应该是安全运营发展的结果,而不是目标。
基于这个观点,今天随意漫谈一下个人看法,有可能对,也可能不对,请各位看官姑妄听之。不针对任何产品与事件,只是记录一下所思所得,以便过几年再回来,看看自己的理解是否准确。
一、SOAR 如何定位? SOAR 最初(2015 年)被 Gartner 定义为安全运营、分析与报告(Security Operations、Analytics、Reporting)。
2017 年 Gartner 对 SOAR 进行重新定义,变成了现在广为人知的安全编排、自动化与响应(Security Orchestration, Automation and Response)。
按照 Gartner 的说法,SOAR 应该是由安全编排和自动化(SOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。
对比来看,对于安全运营最为关键的安全分析(Analytics)没有单独体现,我猜可能是 Gartner 认为安全分析(Analytics)应该是 SIEM 应该做的事情,或者是将安全分析(Analytics)包含在了安全事件响应(SIR)中了。
从 SOAR 整合要素中含有威胁情报平台(TIP)来看,将安全分析(Analytics)默认包含在了安全事件响应(SIR)中,这种可能性似乎更大一些。
二、这条鸿沟是什么? 安全事件响应(SIR)接受 SIEM 数据、威胁情报(TIP)数据及其它上下文信息,综合分析判定安全事件(Incident)的影响程度及可能性,并决策是否需要进行处置。
而安全编排和自动化(SOA)只是接收安全事件响应(SIR)的命令,按既定的剧本与安全设备或系统联动,进行自动化的处置。
由此可见,SOAR 的核心及难点是安全事件响应(SIR),而不是一直被捧吹的安全编排和自动化(SOA)。
可以说安全事件响应(SIR)是智囊,运筹帷幄帐中、决胜千里之外;安全编排和自动化(SOA)则是作战机要办公室,按既有命令制定并传达作战计划。
那为什么 SOAR 产品大部分都不太提分析与决策,重点强调编排与自动化响应呢?
因为安全分析与决策,像一道难以跨越的鸿沟,SIEM 产品难以解决,SOAR 产品也不愿面对。
三、为什么难以跨越? 抛开产品技术不谈,让我们回到安全分析与决策的实质,面对海量的安全数据,只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。
从风险管理的角度来说,作为海量安全数据的事件(Event)只代表一种客观的状态,初步分析提炼可以加工成需要关注的告警(Alert)。与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。
单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法体现处置的优先级。
告警(Alert)还需要进一步加工聚合,形成体现优先级的风险事件(Incident)。理论上来讲,风险事件(Incident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。
达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的安全事件(Incident)就是需要进行处置的,也就是安全事故(Accident)。
这条鸿沟为什么难以跨越非常明显,就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。
四、现状及总结 那么,目前业界能做到什么程度呢?普遍的情况是可以分析到告警(Alert)层面,但由于各种原因所致,告警(Alert)的准确率可以达到百分之六十以上,还可能有牺牲检测率的嫌疑。
而安全事件(Incident)的聚合呢,基本上就没有什么太好的效果,更别说自动化的进行安全判定与决策了。
虽然面临着难以跨越的鸿沟,也不是说 SOAR 就不再需要了,难以跨越并不是不能解决,再说除了安全分析这条线,还有安全事件处置知识库、剧本,以及安全生态、设备联动等方向,还是有很大的发展空间。