在 2020 年,笔者讨论了从 2015~2020 年间 Gartner 对 SOAR 定义的变迁,列举了 Gartner 的 7 个 SOAR 定义,并对定义的变化给出了笔者自己的解读。 如今,两年过去了,SOAR 在中国已经得到了广泛的认同,并正在落地生根。回顾这两年 SOAR 在中国的实践,环顾国际 SOAR 市场发展变化,面向未来,是时候再次重新定义 SOAR 了。
持续研究 Gartner 对 SOAR 的定义 SOAR 诞生于 Gartner 之手,让我们继续从 Gartner 开始。 定义 8【2020 年,SOAR 市场指南】:SOAR 是将事件响应、编排与自动化,以及威胁情报管理整合到一个平台之下的解决方案。SOAR 工具用于记录和实现过程(譬如剧本、工作流和流程),支撑安全事件管理,为人类安全分析师和运营人员提供机器协助。工作流(譬如事件分诊、事件响应、威胁情报加工与管理、合规监测与管理)可以与其它技术的集成实现编排,并通过自动化去达成预期的目标。 SOAR are solutions that combine incident response, orchestration and automation, and threat intelligence (TI) management capabilities in a single platform. SOAR tools are also used to document and implement processes (aka playbooks, workflows and processes); support security incident management; and apply machine-based assistance to human security analysts and operators. Workflows can be orchestrated via integrations with other technologies, and automated to achieve desired outcomes.
定义 9【2021 年,安全运营炒作曲线】:SOAR 是一种技术方法,它将事件/案例管理、工作流、编排和自动化、响应和威胁情报管理结合在一个平台中。事件管理允许知识捕获和管理,以及工作流映射。编排和自动化为人工主导的过程和工作流程增加了机器辅助。威胁情报管理允许收集、处理和分发情报的策划和自动化。 SOAR is a technology approach that combines incident/case management, workflows, orchestration and automation,response and threat intelligence management in a single platform. Incident management allows for knowledge capture and management, along with workflow mapping. Orchestration and automation adds machine assistance to human-lead processes and workflows. Threat intelligence management allows for the curationand automation of ingesting, processing and distributing intelligence.
定义 10【2021 年,GTP 团队】:SOAR 是一个在技术或非技术的操作中提供自动化以协助人执行安全运营任务的平台。 SOAR is a platform that can add automation to technical and non-technical actions, assisting humans as they perform security operations tasks.
定义 11【2021 年】:SOAR 平台是一个为安全运营人员履行某些职责时提供机器辅助的解决方案。SOAR 平台可为安全操作的许多方面提供价值,例如警报监控、事件响应、案例管理、威胁情报和合规性。 Gartner defines SOAR platforms as solutions that add machine assistance to human security operators as they execute certain duties within their teams. SOAR platforms can deliver value to many aspects of security operations, such as alert monitoring, incident response, case management, threat intelligence and compliance.
定义 12【2022 年】:SOAR 平台是在单个平台中结合事件响应、编排和自动化以及威胁情报(TI)管理功能的解决方案。 SOAR platforms are solutions that combine incident response, orchestration and automation, and threat intelligence (TI) management capabilities in a single platform.
分析上述定义,可以发现,从 2020 年至今,SOAR 的定义基本稳定,仅在措辞上进行了一些完善: 1)继续将 SOAR 看成一个解决方案; 2)继续强调 SOAR 的核心目标是为安全运营人员提供机器辅助和自动化,以提升他们的工作效率。而这种自动化是通过对流程的编排(即剧本)来实现的。 3)继续确认 SOAR 是由 SIRP、SOA 和 TIP 三个部分组成。
用笔者自己的话来解读 SOAR,就是:人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。
国外 SOAR 发展方兴未艾,新的应用场景不断涌现 近几年,在国际上,我们看到很多 SIEM 厂商纷纷加码 SOAR,或者通过收购,或者通过自研,将 SIEM 的功能扩展到 SOAR 的领域,有的将 SOAR 作为 SIEM 的一个功能,有的将 SOAR 与其 SIEM 甚至 TIP 等系统打包成安全运营套件。笔者做过分析,几乎所有 2021 年 Garnter SIEM 魔力象限中的厂商都具备 SOAR 功能或产品,他们纷纷发起对独立 SOAR 厂商的收购。放眼国内,大部分 SOAR 提供商都同时是 SIEM/安管平台/态势感知平台提供商,并且多是同一个团队在后面进行研发。 因此,很多人可能不禁会问:是否未来 SOAR 将成为 SIEM/安管平台的一个部分?独立 SOAR 厂商/产品是否会消亡? 其实,如果有心的话,可以看到这几年独立的 SOAR 厂商依然像雨后春笋般涌现。并且,这些新兴厂商开发了很多应用场景,已经超越了 SIEM/安管平台所能覆盖的范畴。 笔者认为,在 3 到 5 年内,SOAR 会不断与 SIEM/安管平台进行多种形态的整合,甚至还会跟其他多种产品(譬如 XDR、DLP、零信任)进行整合,但独立的 SOAR 会依然存在,并且会与 SIEM/安管平台越来越不相同。但无论如何,SIEM/安管平台和 SOAR 都是安全运营中的组成部分,这一点不会变。【有关 SIEM 和 SOAR 的关系,以后会专文论述】正如 Gartner 最新发布的 SOAR 报告所言,SOAR 与 SIEM 是一个交集的关系,二者的交集在于威胁检测与事件响应。也就是说,SOAR 的应用场景除了威胁检测与响应,还有其他超越 SIEM 的应用场景。 可以说,只要是安全运营工作,都可以通过编排和剧本去实现(部分)自动化。譬如员工入职后的各系统开通,员工离职时的各系统账号清除,堡垒机账号梳理,零信任中的持续行为评估,HVV 准备工作,安全中台的能力编排,等等。 从这个角度来说,在把 SOAR 局限于安全事件响应显然是小看 SOAR 了,在构成 SOAR 的三个部分:SOA,SIRP 和 TIP 中,SOA 的重要性越来越凸显。所以笔者一直强调,响应是 SOAR 的一个场景,尽管是最重要的场景,但也仅仅是一种场景。编排才是 SOAR 的核心,编排让 SOAR 具备了更多的可能性。
在 2022 年 4 月,Forrester 发布了新一期 SOAR 的技术市场报告,其中,对 SOAR 的定义如下。 定义 13【2022,Forrester】:SOAR 是一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术,实现对安全事件的分诊、协调,并采取基于剧本的协同行动。 SOAR is Automation technology that integrates with third-party tools across the security and business ecosystem to triage, coordinate, and take coordinated, playbook-based action to security events. The goal of SOAR technology is to make security operations faster, less error-prone, and more efficient.
在 2021 年底,DHS 的 CISA 发布的 2022 年到 2026 年战略性技术路线图中,将 SOAR 列入其中。 定义 14【2021,CISA】:SOAR 使用与组织中(或者与这些组织相连)的安全传感器和其它技术平台的连接来自动执行安全操作。SOAR 技术可以配置为一系列操作组成的剧本或者工作流。这些操作包括响应动作,譬如告警分诊、隔离用户会话、运行漏洞扫描、开具工单、更新签名、警告分析师等。 SOAR technologies automate security actions using connections to security sensors and other technology platforms in (or connected to) an organization. SOAR technologies can be configured to execute playbooks or workflows that consist of a series of actions, including response actions (e.g., triage a list of alerts, quarantine a user session, run a vulnerability scan, open a ticket, update a signature, alert an analyst).
可以看到,Forrester 和 CISA 同样认为编排是核心,而响应是一种应用场景。
国内 SOAR 实践越来越多,独特性越发显现 正如笔者在《SOAR:从旁观者到参与者,越来越多客户入场》一文中所述,目前中国客户(尤其是头部客户)对 SOAR 正在迅速从旁观者向参与者转变。越来越多的中国用户开始落地 SOAR,越来越多的中国厂商发布 SOAR 产品或者模块。近两年赛迪咨询都对用户使用 SOAR 的情况和意愿进行过调研,SOAR 已经成为安全运营建设时考察的关键能力之一。而根据 Gartner 对中国的安全运营市场进行过调研,以及数世咨询、安全牛、嘶吼等发布的安全全景图,可以发现提供 SOAR 能力的厂商大幅增加。 根据笔者对中国市场的观察以及深入实践,可以发现一些不同于国际市场的特点: 1)正如笔者在 2020 年所言,SOAR 在国内落地的时候,基本上将 TIP(威胁情报平台)作为一个外部系统进行集成而非作为一个内在的功能集合。国内客户基本上都将 TIP 看作一个独立的基础性、支撑性产品/平台,为 SIEM、安管平台、态势感知、SOAR,甚至安全设备等提供情报赋能。因而,客户在考虑威胁情报的时候,通常不会咨询 SOAR 产品厂商,甚至都不会咨询安管平台/态势感知平台的提供商。这并不是说 SOAR 与 TIP 之间没有关系。一方面,SOAR 在进行告警和安全事件调查的时候需要利用威胁情报进行辅助研判,并可以将这个研判过程编排化、自动化;另一方面,也是往往容易忽略掉的,在于 SOAR、尤其是编排自动化有助于提升 TIP 自身的运营水平,譬如内生情报的产生。可以说,目前国内的 TIP 的运营化水平都还比较初级。因此,基于国内的现状,国内的 SOAR 平台更多是与 TIP 进行松耦合的解决方案集成,而非将 TIP 作为 SOAR 的一个/组模块功能。 此外,Garnter 将 TIP 植入 SOAR 还有一个原因,就是美国政府(包括民事和军事)在实践 SOAR 的时候首先从威胁情报的共享和基于情报的响应这个应用场景开始的。
2)中国的平均安全运营水平低于国外(尤其是美国),在落地 SOAR 的时候有些理念存在不同。一般来说,客户要想使用 SOAR,首先应该有相匹配的安全运营成熟度,尤其是存在固化的安全运营流程,譬如有 SOP(标准操作规程),有相对固定的运营人员。一旦客户具备前述条件,对 SOAR 的需求就是自然而然的一件事,使用 SOAR 的过程就是将现有的流程转述到 SOAR 中,形成剧本,提升现有运营人员的工作效率。Gartner 反复强调这点,并建议低运营水平的客户去寻求 MSS 的帮助,购买效果导向的服务而非 SOAR 产品。 笔者认为,上述观点没有毛病。但国内的客户就应该先闷头提升运营流程和人员,再考虑 SOAR 吗?或者说,SOAR 的应用能否为部分客户的运营水平提升提供帮助?其实,这个问题的答案就跟我们经常说的 “三同步” 是相通的。对于那些注定需要自建安全运营能力的客户而言,如果他们已经有了运营团队(尽管可能很小),有了宏观的安全流程并且运营团队实际在开展运营工作(尽管可能没有 SOP),那么虽然此时距离使用 SOAR 所需的成熟度还有一些差距,但这时候使用 SOAR 得当的话,是有助于反向提升运营水平的。 譬如,在对安全告警进行响应的时候,尽管没有现成的 SOP,但有基本的流程(尤其是岗位和部门间职责界定相对清晰),就可以借鉴 SOAR 厂商提供的剧本模板和样例,借鉴业界的最佳实践,结合自身的需要,创建或者完善某个具体的事件响应流程。或者,还可以不从剧本入手,而从使用应用(App)、快速调用 App 的动作入手,降低工具切换的时间成本,先稍微缓解告警处理疲劳;然后再从实战中总结这些动作/操作的规律和经验,提取剧本,从而降低后续同类工作的时间成本。再者,可以先通过工具化的 SOAR 将一些简单的重复性工作自动化,形成几个经典实战化应用场景,真正提升运营团队的工作效率,拿出看得见的效果和度量指标,进而说服管理层提升对安全运营工作的重视程度,加大流程建设、队伍建设、自动化运营建设的投入。
重新给 SOAR 一个定义 结合上述对 Gartner 的 SOAR 历史沿革的分析,对国内外 SOAR 最新发展和应用动态的分析,笔者提出一个全新的 SOAR 定义: 安全编排自动化与响应(SOAR) 系统是一系列提升安全运营效率的技术集合。它在安全运营流程和规程的指引下,将与安全运营相关的第三方工具通过编排整合到一起,以自动化和高交互的形式辅助安全运营人员开展安全运营工作,并内建对安全事件的采集、分诊与响应。 SOAR 以安全编排和自动化为核心,以安全事件响应为必备应用场景,充分利用威胁情报,辅助安全运营人员高效开展各项安全运营工作。 SOAR 在现有以数据为中心的安全运营框架基础之上增加了一个以流程为中心的编排层,进一步完善和丰富了安全运营的体系,将人、流程、技术和工具整合到一起,提升了安全运营的实战化水平。
SOAR 时代已到,未来可期!
转载声明 本文转载自:https://mp.weixin.qq.com/s/aiaCgFRjGifPhPfZ4_lrkQ