一、SOAR 技术剖析 本段将从 SOAR 的三个主要功能做分析。
01 安全编排和自动化 网络威胁使得各式各样的设备登上安全舞台,多种设备在形成有效防御力量的同时也加重了整体攻击事件分析的难度,各设备间的流量、规则差异性,防守人员经验多寡都可能造成各个事件无法有效关联、各个平台形成了一个个安全孤岛、无法有效的进行安全防御工作的情况。SOAR 技术观察到了行业当前的技术痛点,不仅可以联动各设备,连参与者也被编入业务工作流程,将人员和技术都进行编排才能保证安全流程真正高效的运行。SOAR 技术的运用能够有效的通过编排降低不同技术间、多个平台间转换需耗费的人力、时间成本。SOAR 技术通过剧本将设备与设备、设备与人员、人员与人员都串联起来。启动剧本后,通过预先设定好的剧本对多类设备的返回信息进行智能整合、自动化处理、剧本内人员可以随时查看其他人员对事件的操作流程及当前事件运行状态。这样的协同机制使整个安全事件处理过程更加高效、清晰。自动化的流程也让分析人员减少每天执行的重复任务的负担,将有限的精力放在更需要生产力的地方。 值得注意的一点是,即使剧本编排再巧妙,SOAR 也不是替代安全运维人员,只是减少了浪费在简单、重复任务上的时间,使他们可以利用他们的专业知识快速有效地响应事件。比如图形化的编排剧本可以让安全团队成员忽略编程的过程去更专注安全防御流程本身,而技术能力更强、经验更丰富的技术人员可以对 SOAR 进行定制化开发提高安全事件的响应效率。
02 安全事件响应平台 人员技术水平的差异性导致了安全事件处置效率大大不同,各部门的人员联动与协调随着网络环境的复杂度增强,人员职责细化也变得越来越困难。安全事件响应处置时,需要针对具体的事件需要选择其对应的处置方式,而在关键时刻选择合理的处置方式需要安全团队成员积累足够的经验,对人员能力要求较高。有一些比较固定的流程在里面可以经过总结形成处置经验,以往需要长时间的培养来形成人员自己的专家经验,而在 SOAR 中可以固化下来形成案例库,通过安全专家经验案例库形成剧本流程以响应应急事件。 除此之外,响应时间也十分重要。根据策略保护检测相应模型(Policy Protection Detection Response),当入侵者攻击安全目标花费时间大于入侵开始到系统检测到入侵行为花费时间和发现入侵到响应完成的时间之和时,系统才被认为是安全的。SOAR 技术的应用可以快速缩短从发现入侵到响应完成的平均时间,从而达到快速响应突发事件保障系统安全的目标。
03 威胁情报平台 威胁情报的信息共享是 SOAR 信息共享的重要机制,很多安全企业都开始建立自己的情报库,并且通过情报共享机制扩大情报库存,但威胁情报的来源越来越多,威胁信息和攻击事件情报数量也在不断攀升,如何有效整合各方的情报,如何快速判断情报的有效性与准确性也是伴随着威胁情报发展的一大问题。SOAR 技术可以通过共享情报管理机制来消除情报自身带来的潜在的威胁。SOAR 技术将网络资产库,专家情报库等多源情报资源进行汇聚,与可疑情报进行碰撞,大大提高了威胁情报的识别率,有效挖掘海量多维的情报库中挖掘出更多潜在的信息。这是一种对安全数据的集成分散能力,为安全团队提供经过有效验证的威胁情报。
二、SOAR 发展及展望 SOAR 技术还在不断发展,在 SOAR 内生性功能不断发展的同时,供应商也利用各自平台不断增加 SOAR 的新功能,囊括了很多 SOAR 提出之初不曾涉及到的领域。
国内外各大厂商也都对该技术有不同的理解和应用。IBM 就将 SOAR 结合自身的 IBM QRadar SIEM 以求缩短事件响应时间。FireEye 的 SOAR 产品 Helix 也被选择安放在自家 SIEM 处理结束后进入剧本。结合 2016 年大型安全操作厂商对 SOAR 厂商的收购趋势可以看出,规模较大的 SIEM 厂商或威胁情报厂商都开始通过直接收购 SOAR 厂商的方式来将 SOAR 技术融入其现有的安全操作平台当中。可以肯定的是,这条技术路径在未来将会是主流模式,且不止于与 SIEM 的结合,嵌入式 SOAR 仍是主流形势。
以金融行业 SOAR 实践为例,客户现场已建立起完善的安全事件运营体系,有着足够的信息与完善的处置流程,给 SOAR 的应用夯实了基础。在此基础上将 SOAR 嵌入到核心运营平台中,不但是新兴技术的探索应用更是安全工作发展的必然结果,这种安全工作演化和平台整合的趋势将越来越明显。
另外为了提高对大数据的分析能力,与人工智能算法的结合也是可行之路。经过海量多维威胁情报和案例经验库的洗礼,或许算法可以选择出正确的剧本对新型的威胁事件进行处理。或许这条技术路径还需要大量的时间与资源才可以达到理想中的效果,但始终会是一条值得尝试的道路。
三、结束语 人工处置水平层次不齐、安全工作单一重复、威胁情报种类众多、法律法规的严格要求等一直是安全工作的困难问题,随着 SOAR 人机结合的自动化处置流程将大大提高对安全事件的应对周期与效率。根据现场定制化的联动响应方式也将使其成为工作中必不可少的安全工具,通过大数据、智能算法优化剧本模型的可行性也将推动 SOAR 去不断的探索发展。