0x00 SOAR 近况

今年 Gartner 再次更新了 SOAR（安全编排自动化响应）的定义，表达出了更高的期待：

定义 6【2020】：SOAR 平台是一类为人类安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。这里的团队不限于 SIEM 操作员或 SOC 分析师。这里的团队可以包括告警与分诊管理、事件响应人员、威胁情报、合规经理、威胁猎手。 定义 7【2020 年，安全运营炒作曲线】：SOAR 是一类从各种来源获取输入，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。（参考１）对于 SOAR 的定义不再只是单一的响应联动，而是寄望于它能够进一步促进 SOC（安全运营中心）中人、技术、流程，三位一体的融合，加速 PPDR 模型中预测、防御、分析检测、响应过程。

反观 SOAR 在国内的市场都是不温不火的，归结下主要有几点原因：

·国内安全技术从业人员偏少，包括非技术类的整体从业人数也就十几万人（据调查），面对复杂如 SOAR 的平台也是无从下手；

·设备、接口碎片化过于严重，各设备谈不上接口标准化，生态不成熟，自家各盒子产品都不见得能用 SOAR 串起来；

·国内公有云厂商对于 SOAR 的安全建设多少乏力，公有云本是所有一流安全技术持续落地的优先场景；

前面两点就足以限制其市场地位，更不用说甲方用户、公有云、威胁情报提供商对它的认知了，所以目前多数安全厂商会选择兼顾市场需求的短平快联动功能进行产品开发，不会把功夫花在 Gartner 炒作和 SOAR 的绣花上。

任何一个新技术的尝试都需要一点点理想主义、加上现实的捶打，SOAR 也不例外，面对着告警爆炸、人才/经验短缺、工具过量的痛点，SOAR 作为由安全编排与自动化、威胁情报平台和事件响应平台融合而起的新兴安全解决方案，其所追求的人机协同自动化是解决这个痛点的方案之一，它是值得去探索的。

0x01 现代化 SOAR 的落地探索

假设下场景，当你作为安全分析与运营人员，作业于一个 10 万规模的 IDC 环境，历史原因分布在十几个大大小小的机房，架构并收集了一堆 HIDS、IDS、WAF、RASP 等日志，你的 SIEM(安全事件管理) 平台每天需要吐出大量的告警、漏洞、新漏洞，你需要进行分析研判、通报处置。最终，要么你每天只挑几个告警出来运营，要么普遍都会都会陷入告警疲劳。 那么除了进一步优化告警本身和联动那些设备外， SOAR 能为这个问题提供什么解呢？SOAR 可以让你可以站在综合型的安全运营视角里找到可以量化、标准化的抓手去提升你的安全运营成熟度，合理运用现有分析人员所积累的知识配合 playbook（剧本）化的方式去驱动整个 SOC（安全运营中心）的作业，在已有的运营手段基础上提供一个更加灵活和本地场景定制化的手段去优化提升安全运营效率。 而且 SOAR 中很重要的一点是，隐含了 OODA（观察、调整、决策、行动）循环思想： (1) 观察事件并确定发生了什么； (2) 确定观察的方向，并添加上下文来确定观察的含义； (3) 根据业务的风险容忍度和能力决定适当的响应行动； (4) 根据决定采取行动，并应用到观察过程中，然后重复；

虽然 SOAR 平台能够消除现有安全运营流程中执行的单调、重复任务的需求，但是 SOAR 本身并不能代替人类。SOAR 技术可以帮助安全运营人员更快地从决策点 a 移动到决策点 B，但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。

在 SOAR 产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此，我们只能将 SOAR 应用于已经预想可能会发生的并且知道如何响应的安全场景中。

所以，现代化 SOAR 除了需要完成从响应到分析调查的升华，完成 SOC 效率、MTTR 的提升，还需要做到知识的留存等。在实际过程中对接 SIEM, XDR, 资产，云端威胁情报等，以 Playbook(剧本化) 的形式，融合分析人员的知识来驱动下层的自动化编排引擎、作战室协作、案例化管理、威胁情报管理等方式实现一个安全运营体系的升级。 SOAR 中的三个基本功能 (还在持续演进)——Playbook 的编排自动化、沉淀知识的案例化管理：

使用 Playbook 联动云端和本地的安全产品

如前所述，现代化 SOAR 除了需要联动诸如 FW、NTA、EPP 等相关本地化设备外，有很重要的一点是需要联动云端的威胁情报中心，通过云端威胁情报、全网资产测绘等接口来快速补充事件威胁上下文信息，实现对具体事件的洞察，提供决策支撑。

现代化 SOAR 的案例管理

SOAR 的案例管理主要用于帮助安全团队管理安全事件，进行上下文协作并共享数据以有效解决事件。 警报处理和分类。SOAR 工具收集并分析通常从 SIEM 中获取的安全性数据，将数据关联起来以识别优先级和严重性，并自动生成事件以进行调查。该事件已包含相关的上下文信息，使分析人员可以进行进一步调查。这样就无需人工来注意相关的安全数据，将其识别为安全事件并在系统中手动设置事件。 案例管理。该工具可以记录安全团队的行动和决策，使整个组织以及外部审计人员可以看到它们。随着时间的流逝，SOAR 工具会创建一个由团队知识组成的知识库，包括威胁、事件、作战室、历史响应和决策及其结果。 威胁情报管理。SOAR 工具可从开源数据库，行业领导者，协调响应组织以及商业威胁情报提供者那里获取威胁数据。 SOAR 工具将相关的威胁信息附加到特定事件，并使分析人员在调查事件时可以轻松访问威胁情报。 攻防视角对接。由于对接了所有的安全数据和接口，理论上 SOAR 拥有的视角是本地中最全的，所以在 SOAR 中引入安全攻防视角的案例管理是卓有成效的做法，比如对接 ATT&CK 和钻石模型的攻防视角，各设备都统一用该方式去描述攻击方法。

0x02 小结

本篇文章简要介绍了下 360-CERT 团队在现代化 SOAR 解决方案部分产品化落地探索，期待现代化 SOAR 解决方案能成为当代 SOC 建设的中心枢纽。