由于企业的数字资产攻击面不断扩大,以及数字化业务资产价值不断提升,企业面临的攻击威胁也在不断增加。为了应对挑战,企业需要进一步增强安全运营中心的自动化水平,提高消除安全威胁的速度和敏捷性,同时减轻运营人员的工作压力。安全编排与自动化响应(SOAR)正是帮助企业实现安全运营自动化的代表性技术之一。
SOAR 的价值与典型应用
大量应用实践表明,SOAR 可以帮助企业安全运营中心实现以下方面的能力优化:
- 安全能力编排
SOAR 可以帮助安全运营中心实现各种异构安全工具的衔接和工作协同,从而提高获取威胁、运营监控和识别事件的效率。
- 自动化
SOAR 可以通过预定义的参数自动触发工作流程、任务和警报,帮助企业安全运营中心实现更积极的主动安全防护模式。
- 事件响应
SOAR 可以加快企业安全运营中心对中、低风险事件进行通用性和针对性的处置响应,并通过统一视图方式来访问、查询和共享威胁情报,为安全分析师提供支持。
从以上三点可以看出,SOAR 的应用价值在于,可以自动化协同多个安全工具共同处理常规性威胁信息和事件,使安全分析师能够专注于处理更复杂的威胁,并实现对威胁情报的全生命周期支持。如果实施得当,SOAR 可以成为助力企业进一步夯实安全防护体系的基础。
但在最初接触或使用 SOAR 产品时,很多企业都会对 SOAR 的真实效果产生疑虑。因此,SOAR 产品的应用可以从一些容易落地的应用场景开始,在使用的过程中逐渐打磨产品能力,增强使用信心。以下,研究人员总结了 SOAR 在企业安全运营中的 6 个典型应用:
01 警报信息处理
SOAR 平台每天都会收集到成千上万个网络攻击指标(IOC)。这些指标是从内外威胁情报源、恶意软件分析工具、XDR 系统、SIEM 系统、电子邮件、RSS 新闻源、监管机构及其他数据库收集而来。通过 SOAR 平台的协调、汇总和发掘,可以从海量的警报信息中检测出真正可疑的 IOC。
02 攻击事件管理
在企业体系化安全能力构建中,会使用多种安全工具来检测潜在的安全威胁。因此,安全分析师可能需要花费大量时间来分析与同一威胁相关的不同监测数据。SOAR 可以将来自多个相关事件、性质相同的数据汇总起来。这使得安全运营人员能够识别出最关键的威胁,从而快速处理威胁,缩短威胁检测和响应的总体平均时间。
03 安全漏洞管理
在传统的安全运营模式中,安全分析师需要人工管理和清点安全漏洞。但是如果通过 SOAR 技术,几项简单的策略就可以实现漏洞管理自动化,快速处理大量漏洞,并实现漏洞监控和快捷响应。具体来说,SOAR 可以跨多个安全工具将威胁数据关联起来,以评估漏洞利用风险,并相应地确定漏洞威胁的优先级。
04 事件响应分析强化
SOAR 平台可以利用多个数据源或查询不同的威胁情报工具来获取威胁上下文,从而加强 IOC 的事件响应分析。这使得 SOC 分析师能够更准确高效地分析、验证、分类和响应。在这种应用场景下,SOAR 可以帮助安全分析师大大节省事件响应中必须的关联性数据检索时间,从而可以更快速地获取大量的 IP、URL 和散列信息以检查恶意威胁,又不影响所需的查询深度。
05 威胁搜寻
SOAR 平台还可以作为一种主动搜寻威胁的机制。对安全分析师来说,搜寻威胁是一项至关重要的任务,但考虑到威胁范围不断扩大,这项任务很耗费时间。SOAR 可以添加用于持续分析的数据集,从而支持大规模数据分析的环境。此外,SOAR 可以广泛地探测恶意软件或可疑域名,并在必要时结合分析师经验共同(human-in-the-loop)决策,帮助扩大威胁搜寻范围。
06 安全事件响应
目前主流的 SOAR 方案已经可以有效处理一些常见安全威胁,并准确做出补救和响应,比如网络钓鱼、恶意软件、拒绝服务(DoS)攻击、网站损毁和勒索软件。
根据安全威胁的类型,自动化响应有以下常见形式:
- 将指标自动添加到监视列表;
- 自动阻止恶意指标;
- 自动隔离指标或受攻击端点;
- 给基础设施硬件/软件自动打补丁;
- 自动生成工单;
- 自动阻止可疑的电子邮件或 IP 地址;
- 自动删除来自其他邮箱的可疑邮件;
- 自动终止或控制用户账户;
- 自动触发防病毒扫描或安全合规检查;
- 自动提醒特定的安全分析师、供应商、合作伙伴或客户。 ## SOAR 落地应用的挑战
尽管 SOAR 技术有巨大的发展前景,但其理念能否真正兑现仍然充满挑战。这与企业现有的安全运营能力和水平是息息相关的。研究人员发现,SOAR 在应用落地中面对的主要挑战包括:
挑战一
安全运营水平还没有达到使用 SOAR 的条件
很多企业组织的安全运营现状是,通过 IP 地址实现对安全设备和终端的管理,通过对管理员和用户的账户对应用进行管理,但安全设备及账户对于业务应用来说,是多对一或多对多的关系。当安全事件发生以后,必需要依靠对系统和资产熟悉的人员进行问题排查。这对于自动化设备来说,应用会存在非常大的挑战。
挑战二
SOAR 产品使用需要多部门协同
SOAR 的应用目标是人员、数据、流程、工具的高效协同。但分析企业目前现状,业务、信息化、安全运营都是独立的部门,有相应的职责划分及领导者,实现跨部门的协同工作不仅仅是简单的技术问题,还是管理上的改变。想要打通业务与安全,需要从顶层设计开始改变组织架构,而现阶段还没有强有力的因素对此进行推动。
挑战三
企业没有清晰的事件处置流程
SOAR 将事件的处置过程通过剧本进行编排,如果用户本身对于自身的事件处置流程都不甚清晰,那也就无法使用自动化工具提高效率。只有那些组织管理能力较强,具备正式、成熟安全响应流程的企业,才能够针对通用威胁建立标准剧本,达到使用 SOAR 产品的条件。
挑战四
SOAR 产品难以实现标品化
SOAR 产品对比其他的安全产品,如防火墙、IDS 等,是不能即插即用的,因为每个用户部署的安全设备不同、事件响应的流程不同,需根据用户实际情况接入数据源、设备,以及更具应用需求和场景修改优化剧本。