2020 年 BCS 北京网络安全大会已经结束。在 8 月 15 日晚间的《嘶吼夜话》栏目中,笔者有幸作为国内独立 SOAR 初创公司代表参加了当晚的一档直播讨论,题为《SOAR 如何改变安全运营现状》。一个小时的时间很快就过去了,笔者也将自家的 SOAR 发布一年多以来实践的感悟跟大家进行了分享。现将直播时交流的主要议题和我的主要观点总结如下,欢迎大家指正。
1、 SOAR 是基于什么需求下产生的,SOAR 的发展脉络、市场前景如何。
笔者观点:SOAR 的产生是实战化安全运营的必然要求。随着热门越来越注重安全运营,尤其是希望真正能够落地运营,提升对抗的能力和效果,安全运营团队(尤其是大型的)基本都面临 5 个挑战:
(1)人少事多:团队人员少,但事情多,压力大,工作负荷高,重保期间更是不堪重负,无法保持持续的工作强度和能力。而稍有松懈,就可能在对抗中前功尽弃。
(2)告警疲劳:需要处理的告警太多,尽管部署了各种 “精准” 的检测设备,但需要处置的告警依然很多,处置的过程也很繁琐。
(3)响应太慢:千辛万苦定位了问题,遏制、阻断和恢复的处置响应过程十分复杂,需要在不同的安全工具和系统之间来回切换,审批也不够及时,流程也不清晰。
(4)知识流失:安全运营、响应处置的过程主要靠经验,而有经验的运维人员的操作过程都在他们的脑子里,纸面化的操作规程操作性不强,各种经验和处置的过程缺乏总结积累和固化,运营知识随着人员的流动而流失。
(5)缺乏协同:这条是对前面 4 条的总结,本质上就是因为人与人、人与工具、工具与工具之间缺乏有效的协同联动,安全运营工作基本都是碎片化的,个人英雄主义色彩的。
从 Gartner2015 年发明 SOAR 这个词以来,在 2017 年进行了重新定义,后来也正不断修订其定义。SOAR 是一个快速演变的市场,也是一个受到安全业界广泛关注的市场和技术,在 2020 年的 Gartner 炒作曲线中位于炒作的高峰阶段,足见其热门程度。但 SOAR 目前还处于早期,在国内尤其如此。
Gartner 将 SOAR 看做是 SOA(安全编排与自动化)、SIRP(安全事件响应平台)和 TIP(威胁情报平台)三者的融合性解决方案。笔者认为目前国内 SOAR 主要有两种形态:(1)跟 SOC(安管)平台整合到一起,作为 SOC 平台的一个模块。这时候 SOAR 功能较为简单,更多为了弥补 SOC 平台的能力。(2)独立的 SOAR 产品,能够跟各种第三方 SOC 平台或其它数据源对接,功能相对完备,更多是为了弥补用户安全防御体系中响应环节的缺失,是站在安全体系的视角来看 SOAR,而不是某个产品的组成部分。
此外,目前国内 SOAR 主要是包括 SOA 和 SIRP 两个部分,TIP 一般都是通过外接独立 TIP 系统的方式来实现。
2、 安全编排与自动化塑造出了全新的安全响应,能否具体聊一聊 SOAR 场景下的安全响应工作与传统方式有何区别。
笔者观点:简单来说,在上 SOAR 之前,安全响应的过程是人要频繁的跟各种安全工具/平台/设备打交道,不断登录各种设备,通过 UI 界面执行各种操作,反复复制粘贴各种信息,耗时费力,还容易出错。而上了 SOAR 之后,安全响应人员只要跟 SOAR 平台打交道即可,简单的操作一键全部执行到位,各类设备的操作切换工作都由 SOAR 代劳;复杂的操作,人执行起来也很轻松,不用登录各种设备 UI,只需要在 SOAR 平台操作即可,省时省力,还不容易出错。人可以将自己的精力聚焦到响应决策上,而不是响应所需的信息收集和响应动作执行上,也不用了解各种不同的安全工具/产品之间的操作差异。总之,SOAR 就像是一个交响乐指挥,根据乐谱指挥各种乐器(安全设备/工具)协同工作,共同演奏。而用户只要跟指挥打交道,不用跟各个乐器(安全设备/工具)打交道。
3、 安全响应存在大量的重复和突发性工作,SOAR,或者说编排和自动化,是如何应对复杂、多变的安全响应环境的。
笔者观点:SOAR 的核心思想是编排,正是通过这个编排机制,将各种各样的安全功能通过应用封装变成了对用户的安全体系而言有价值的安全能力;再通过编排将这些安全能力、以及人和流程有机的整合到一起,以反映安全运营的流程和规程。如此,任何复杂的安全设备及其原生的功能都被功能化、能力化、服务化了,通过编排组合到一起去达成安全目标,并具备极强的适应性,以应对复杂多变的安全态势。
此外,自动化在 SOAR 中不是核心,而是安全编排的实现手段。自动化很有价值,很重要,但不是必须的,其实也不是万能的。与其期待安全运营的自动化,不如考虑一个手自一体的 SOAR 平台,即有人参与的、人在回路之中的半自动化闭环。
4、 众所周知,网络安全的核心是 “人” 的对抗,而 SOAR 剧本化运作的特点,是不是意味着只能解决程式化的安全事件,后期是否存在与 AI 进一步结合,实现智能进化的空间,以及将来是否有希望将安全应急响应工作推向完全的自动化。
笔者观点:的确,在初级阶段,SOAR 首先用于解决程式化、固化、重复性的操作过程的编排与自动化,减少人为错误,降低人的操作强度。接下来,SOAR 可以应用 AI 和 ML 技术,去收集人的各种操作行为和过程信息,给人类运营人员提供操作上的推荐和建议,或者自动产生剧本。但这些推荐和建议,以及自动产生的剧本都还是需要一个人类确认的环节。可以说,在可见的未来,完全自动化是不现实的,人机结合是最恰当的选择。
5、针对当前国内的实际,目前在 SOAR 实际落地中存在哪些技术难点,以及 SOAR 作为一种相对新兴的安全概念,推广与普及过程中有哪些阻碍。 笔者观点:目前在 SOAR 落地这块,主要存在这些问题:(1)应用开发的问题。我们说未来所有设备和系统除了提供 GUI 人类交互界面,一定都会提供 API 机器交互界面,系统和应用可编程是大势所趋。但在当下,很多安全设备、工具和系统的 API 都不完善,使得将这些功能封装成应用的过程面临困难。而应用封装不做好,后续的编排和自动化就难以落地。(2)在应用编排层,也缺乏标准,即各种安全能力的操作原语没有统一的规范,OpenC2,SCAP 试图做这方面的工作,但都还很初级。不过,这个问题到不影响某个 SOAR 平台的实现,影响的更多是不同 SOAR 产品之间的互操作性。对于用户而言,如果有这样的规范,则可以进一步将自身的安全体系运行过程的编排与具体厂商的平台解耦。(3)在实际部署和实施 SOAR 的时候,部署平台只是其中一部分工作,还要花很多精力放到流程梳理、剧本编写的过程中。而这本质上不是 SOAR 自身的问题,更多是安全运营领域知识和经验的事儿。
6、对未来 SOAR 的发展趋势有什么展望? 笔者观点:SOAR 未来可期。现在人们对于 SOAR 的价值和意义都毋庸置疑,大家讨论的重点是如何在中国落地,落地的路径是什么?我们分析,中国的情况跟美国的情况差异较大,SOAR 作为一般而言属于中高阶运营成熟度条件下的生产力工具,如何在中国实际安全运营环境下落地,需要有特别的考量,需要厂商、客户一起努力。用户一定要认识到,安全编排与自动化是一种能力,是自身应该具备的安全能力,是买不来的,能买到的是平台和工具而已。 此外,安全编排未来可期。安全编排超越了响应,可以用于 IPDRR 的各个阶段。响应仅仅是编排的一个落地场景。未来,软件定义安全防御,自适应安全防御,弹性安全防御,都需要安全编排与自动化。
最后,附上当时直播的录像链接(https://bcs.qianxin.com/2020/live/index?meeting_id=125),供大家参看。