安全编排与自动化响应(SOAR)由 Gartner 于 2015 年首次提出,最初定义为安全运维分析与报告(Security Operations, Analytics and Reporting),2017 年正式定义为安全编排与自动化响应(Security Orchestration Automation and Response)。2020 年,SOAR 定义再次被更新为:从各种来源获取输入,并应用工作流来梳理和关联各种安全过程与流程,通过编排和自动执行来达到预期目标,从而为安全运营人员提供机器协助式自动化解决方案。
SOAR 通过融合安全编排与自动化(SOA)、安全事件响应平台(SIRP)和威胁情报平台(TIP)三种技术,覆盖安全防御的识别、防护、检测、响应、恢复等各个环节,可以有效地提高整个安全防护体系对威胁的响应速度,即发现可疑行为,便可快速将防护和响应策略分发到相应的防护设备,并能够协助进行事后攻击溯源。
一、技术发展情况
网络攻击从开始到得手绝大部分操作都是分钟级别;而网络防御发现系统被攻陷可能长达数个月,从发现攻击到抑制攻击或恢复系统可能需要数周,网络攻防在时间维度上严重不对等。并且随着网络规模越来越大,网络攻击在空间维度变得随处可见,仅依靠人工无法从根本上胜任网络防御任务。
与此同时,在网络安全运营过程中,人员组织协调、海量告警分析处理、快速应急响应、安全知识沉淀、安全产品协作等都面临着诸多挑战。
为应对上述网络防御的困局,2014 年,由美国国土安全部、国家安全局和约翰�霍普金斯大学应用物理实验室提出了自适应网络安全防御框架(Integrated Adaptive Cyber Defense,IACD),IACD 从信息采集、分析、决策、执行、恢复及信息共享全流程自动化,其目标就是通过集成、自动化和信息共享来改变网络防御响应时效性,从而提高了网络防御的效率和规模。
Gartner 在 2015 年首次提出 SORA 的概念,最初定义为安全运维分析与报告(Security Operations, Analytics and Reporting),2017 年正式定义为安全编排与自动化响应(Security Orchestration Automation and Response)。SOAR 是 IACD 在企业内落地平台,通过实现安全事件分析、安全响应自动化处理流程,能够有效地提高整个安全防护体系对威胁的响应速度。
从 2017 年到 2020 年,Gartner 多次对 SOAR 进行了定义与更新。2020 年,Gartner 给出了 SOAR 的最新定义。
二、发展难点分析
SOAR 以安全编排与自动化为基础,汇聚所有安全数据并提供完整的安全信息的可视化。SOAR 有效的将人员、流程与技术智能融合在一起。目前,SOAR 面临的技术发展难点主要包括以下三个方面:
1. 安全能力编排
安全能力编排是将人为的安全运营流程转换成为机读工作流的过程。安全剧本是将安全运营流程和制度规范转换为机读自动化执行的必要手段,是工作流程和威胁响应的纽带。安全能力编排必须建立在整合安全防御能力现有及未来安全能力基础上。
安全能力编排难点在于:整合跨多源信息并进行甄别和推理;自动确认风险并采取行动应对风险。
2. 安全过程自动化 安全过程自动化是指安全运营过程与流程尽可能地自动化执行,从而提升安全流程的执行效率,节约时间和人力成本,并确保能够持续达成预期的效果。
安全过程自动化难点在于:安全能力的跨厂商互操作性、可维护性和可扩展性。
3. 可信任安全数据共享 安全数据共享难点在于:缺乏可信任共享情报生态,无法为风险决策提供助力数据。
三、产业落地情况 Gartner 2019 年 SOAR 市场分析数据显示,SOAR 是一个新兴产业,市场上顶级服务提供商大多是初创安全企业。SOAR 处于 Gartner 技术成熟度曲线的上升期阶段,尚未达到技术高峰期的期望值。
各大国际安全巨头包括 IBM、Microsoft、Splunk、Palo Alto、Rapid7、Fortinet 等通过收购争相布局 SOAR 生态。
国内安全厂商都进行不同安全实践和产品研发探索阶段,尚无成熟产品和相关落地应用案例。
四、意见和建议 SOAR 能够有效解决安全人员短缺与人员流动造成的人为安全漏洞,提升协同工作效率,增强应对网络空间抗攻击的能力。在未来国家网络空间对抗中,SOAR 可为国家顶层设计和组建网络安全自动化防御体系提供助力。
建议国家在法律与政策层面上提供威胁情报数据共享保障,并尽快建立国家级威胁情报平台与商业威胁情报服务组织间的威胁情报共享生态,为网络空间自动化防御提供风险决策支持。
未来,SOAR 将是网络安全运营的一个主流方向。