当今,新技术和新应用不断涌现,网络环境日益复杂,网络威胁形势严峻。对于企业和组织而言,无论规模和行业如何,安全运营需要关注的数据量都在不断增长。面对多样化的网络威胁,需要更高效、智能的技术来处理,同时安全人才的短缺也是企业和组织面临的一个挑战。
SOAR 是 Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。SOAR 承载的是结合人、工具、安全设备和工作流的数字化安全过程,是安全自动化和数字化的核心元素。随着国产 SOAR 产品的不断成熟,越来越多的国内企业也开始践行将 SOAR 平台作为安全基础架构的核心部分,帮助解决安全运营中的 “安全、成本和效率” 的三体问题,即在兼顾安全的情况下,平衡安全运营成本和效率。
国舜解读
目前市场上 SOAR 产品解决方案能力主要集中在联动处置上,而往往在安全运营的工作中客户更多的精力还分布在以下几个方面:
● 告警多误报多,重要告警被淹没
理论上来说,拥有更多的数据可以提供更准确的安全洞察力,但过多的数据会使重要的安全告警被淹没在大量的无用信息中,安全运营人员产生疲劳感而忽略真实告警的风险
● 多部门难协调,事件取证难
在日常安全运营的工作中,往往对一件事件进行处理,需要线下协调多部门,而复杂多变的网络攻击形势下,没有标准化的安全运营事件处理流程,安全运营人员容易陷入被动,四处救火。
● 研判分析能力不足,依赖人工响应
为了解决安全运营中的的痛点问题衍生发展的 SIEM、SOC、SA 类产品,由于采集的安全设备告警数据质量不高,定义的规则也相应宽泛,而判断攻击是否为真实的攻击、攻击的影响面是什么,仍然需要进行线下的人工判断处理。效率低下不说,且重复低效的劳动无法有效反馈到安全运营体系中。
国舜天璇安全分析响应平台:天璇安全分析响应平台(SOAR)作为一款国内技术创新、功能丰富、面向实战化安全运营的安全编排自动化与响应平台,结合自动化安全技术,将安全专家的安全事件应急响应经验通过剧本的方式固化到平台中,基于威胁场景提供自动化威胁识别、自动化线索取证、自动化威胁研判、自动化误报分析、自动化溯源分析、自动化制定处置方案、自动化联动处置七大安全自动化能力,利用 SOAR 剧本技术将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将团队、工具和流程高度协同起来。让平台作为 “安全专家” 7x24 小时的为政企客户提供安全值守服务。
● 提供全天候的风险监控能力
● 提供安全事件智能分诊能力
● 提供多视角的安全运营分析
● 提供灵活的剧本编排能力
通过大量的项目建设,我们深入客户安全运营视角对产品进行不断打磨与迭代,为客户解决痛点问题,赢得客户一致好评。
项目建设案例 | 金融行业
在某客户现场,态势感知平台每天接入原始日志量为四千万,通过策略模型每日产生 100 万的告警,通过策略优化最后压制到 20 万每天,依然误报量巨大,处于无法运营的状态。当面对攻击时,安全专家需要协同业务部门,线下沟通无法得到及时回复,效率低下,安全运营效果不清晰
项目需求:
威胁场景分类
希望通过 SOAR 平台对安全事件进行误报排查,能够将同类型的安全事件进行分类,分诊。
标准化的编排调度能力
将资源和能力进行整合,跨部门自动调度,形成标准化的自动处置流程。
安全运营效果可见
对 SOAR 剧本的处理能力,阶段内的安全运营处置效果提供可视化的呈现。
国舜天璇 SOAR 项目建设
第一:数据接入
根据客户现场的数据接入情况,以及与客户深度讨论,对客户现有的安全运营流程进行评估,我们一共梳理出了 35 种威胁场景,并展开了自动化编排能力的建设。
第二: 排查误报
基于客户现场的安全设备建设情况以及真实的业务场景,我们通过关联规则对告警进行源头上的压制,识别威胁,同时通过 SOAR 误报分析剧本,排查误报。大大降低误报率,层层甄别出真实安全事件。
第三:自动化编排
●自动化取证: SOAR+HIDS
编排威胁场景剧本,威胁场景剧本中通过联动客户已建设的 HIDS 设备进行自动化取证,当威胁来临时自动识别是否可疑,自动取证后进行研判分析。
●自动化研判: SOAR+ 威胁情报
研判分析过程结合第三方威胁情报库以及系统内置高风险 IP 池对攻击者 IP 进行分析,若攻击者 IP 命中有效的威胁情报将进行封堵,若未命中情报,剧本将基于 payload 数据进行分析,识别攻击特征是否真实,若攻击真实存在,将进行联动处置。
●自动化联动处置:SOAR+ 防火墙
通过剧本实现误报分析、研判分析、并自动生成处置方案,当剧本启动时,能够自动化联动处置。前期实施时,将自动化剧本修改为需要人工介入的处置剧本,半自动执行,当客户对此类剧本的自动化能力有信心时放开了自动化处置能力,通过预置的自动封禁剧本,实现了对攻击者 IP 的自动化封堵。
使用状况及收益
目前该银行已将 70% 以上的安全事件处置工作迁移到天璇 SOAR,主要包括告警智能去重、安全事件的研判与处置。目前平台已集成了防火墙、WAF、抗 DDOS、APT、IPS,态势感知系统、CMDB、工单系统、Nessus 等。
1)形成了整体实战防御能力
解决了安全设备和系统相互孤立的现状,通过 SOAR 剧本实现业务场景、安全能力的适配。
2)安全运营能力共享与沉淀
将安全专家解决问题的方法固化到剧本中,将安全事件运营流程化、标准化。对阶段内的安全运营状态,提供可视化报告,并对剧本的使用进行总结。
3)提高安全运营效率
通过剧本编排,实现了日常安全运营事务自动化,减少对人工操作的依赖,大幅节省了人力成本,提高了工作效率。
总结
企业实现自动化的安全运营需要根据自身的安全需求和现状,建立相应的流程和规范。评估一个组织是否适合实现 SOAR 自动化,需要考虑其对安全态势的了解和掌控程度,以及在自身控制措施方面的表现。安全事件的处理通常需要多方协调和联动,因此,实现安全自动化运营需要不断地分析和总结安全运营事件过程,标准化和流程化关键的环节,以确保自动化的顺畅实施。