SOAR 是 Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。
今天,网络安全形势日趋严峻,越来越多的企业正遭受着此起彼伏的内外部安全攻击和威胁。身为安全守护者的我们都非常清楚:安全事件的响应速度往往决定着企业承担风险的大小。在此背景下 SOAR 技术应运而生,以编排和自动化技术为核心,助力安全团队加速应急响应。
SOAR 将原本需要人员配合以及人工操作实现的安全响应过程自动化,通过安全剧本(playbook)的方式将安全专家经验沉淀为可以重复执行的自动化流程。
SOAR 产品是如何与外部系统交互的?
为了快速地实现应急响应,SOAR 产品的安全剧本需要频繁调度各种外部安全系统的能力,实现数据查询和命令下发。
典型的互动操作包括:
- 查询系统运行状态
- 获取某个关键指标
- 按照给定的查询条件检索数据
- 配置或下发一条安全策略
- 封禁一个或一组 IP 地址
- 发送一条消息通知
- ……
此类操作通常需要 SOAR 产品与外部系统通过 API、协议或特定接口进行交互。因此,与外部系统的交互能力也是衡量 SOAR 产品的一个重要指标。
SOAR 落地的难点有哪些?
然而,我们看到国内 SOAR 专有类产品目前还不够多,能独立交付的产品更是凤毛麟角。当然这是由多种原因造成的,其中关键的一点是 SOAR 产品在国内与传统安全厂商产品对接存在许多困难。 过去的一段时间里,雾帜智能的工程师们完成了大量安全产品的对接实践,在这期间工程师们发现了很多 SOAR 产品落地过程中遇到的问题,尤其是 SOAR 与外部系统交互的问题。例如:
-
传统安全产品没有提供可用 API 接口
传统安全厂商早期的安全产品很少考虑标准化、自动化方面的需求。通常为了节约成本、缩短开发周期等原因,厂商会忽视或主动放弃 API 的开发。10 年前,如果某个安全产品支持 FTP、SOAP 协议等方式进行通讯,在我们安全人员看来,那就是 “高级货”,而大多数产品只有命令行或者是经典 Web 页面。近年来,大家更习惯互联网风格的 Restful API。总之,在国内能够提供自动化交互的安全产品非常少。
-
API 文档和实际产品完全对不上
早期传统软、硬件开发商缺乏工程化管理水平,文档匮乏是普通存在的问题。很多企业为了应对客户、市场和监管机构的检查,通常是在软件开发完成后才写的设计文档,导致早期传统软、硬件开发商缺乏工程化管理水平,文档匮乏是普通存在的问题。
-
API 缺少管理跟不上产品版本变化
企业因为资源、时间等原因导致研发流程不能没有顺利执行,文档流于表面形式与产品研发脱节。国内还有更重要大的一个原因是:大型安全厂商内部部门多、产品线纷繁复杂,往往又缺少有效的沟通和协调,导致大家规范不统一,开发的产品缺少标准化、统一化的 API 设计。内部产品都难达成一致,更别说与外部产品交互了。
-
封闭且不开放的固有思维
一些企业固有的僵化思维,认为开放接口就是全面开放产品自身,担心被友商模仿或抄袭并丧失竞争力,所以拒绝开放接口,哪怕是简单的 API 功能。更有甚者是不提供接口也罢,还在自家产品中做了大量反自动化、反机器人逻辑,严防他人调用其产品功能。
-
SOAR 对接的开发和维护成本高
SOAR 厂商为实现与主流安全厂商产品的对接,通常需要开发和维护大量的应用程序。而安全产品如果发生大的版本更新,很容易导致旧的安全能力无法使用,需要重复开发实现。
雾帜智能是如何克服这些困难的?
任何一款成熟的产品都需要克服它自身所面临的的重重困难,最终用产品能力向市场说话。为了克服以上描述的各类挑战,雾帜智能团队做了充分的准备和应对策略:
-
遵循先进的软件工程化开发理念
雾帜初创团队核心研发人员来自一线互联网公司,熟悉最前沿的软件开发生命周期流程,精通最成熟的开发工具,有丰富的架构设计经验,并具备多次落地大型工程软件的成功案例。产品从设计之初就考虑到了未来的演进路线和方向,满足不同行业客户需求,适配各类现实中的挑战。
-
提供多语言支持的 SDK
雾帜研发团队设计并实现了灵活可扩展的技术架构,提供基于 Java 和 Python 两种编程语言的 SDK。该 SDK 允许雾帜智能自身团队和我们的合作伙伴、客户能够快速开发应用程序实现对目标安全产品的能力对接,减少时间上的等待。
-
提供规范的开发文档
为了帮助安全工程师快速实现与外部系统的对接能力,雾帜智能提供了应用对接开发指导手册,手册从原理、接入流程、方法和具体编码实现等多个角度进行详细介绍,帮助我们的合作伙伴、客户能够快速部署产品。
-
支持更新和维护
雾帜智能倡导版本维护,在输出的第三方应用对接 APP 中提供标准化的配置文件,其中包括应用标识符、版本标识符等。同时会建议应用开发者在开发过程中增强目标系统版本和 API 的版本判断。
-
提供多种方式实现能力对接
为了能够和主流安全产品的对接,雾帜智能 SOAR 产品 HoneyGuide 支持以各类方式与外部能力进行对接,即使是没有提供标准 API 的产品。目前已经支持的设备交互方式包括:Restful API、HTTP、SOAP、WebSocket、SSH、Telnet、SNMP、JDBC 等。
-
倡导开放的理念
雾帜智能秉承开放合作的态度与国内外主流安全厂商、产品、IT 设备或 SaaS 服务商进行合作。在前期应用能力对接过程中,我们给多个厂商提交过技术需求反馈,也帮助和改善了多个安全厂商的产品 API 问题。
迄今为止,雾帜智能 SOAR 产品 HoneyGuide 已经实现多 100+ 国内外主流安全产品、IT 系统、网络设备以及 SaaS 服务将近 200 个有效应用动作的能力对接。通过 SOAR 安全编排系统可以实现对各种能力进行组装调用,满足安全剧本编排场景的灵活需要。以下是已经支持的部分产商清单,个别厂商支持的产品还不止一个。
接下来是 HoneyGuide 产品已经支持的部分产品厂商及产品的动作示例,供参考:
- 威胁情报
- 沙箱和终端管理
- 漏洞扫描器
如想了解更多关于 HoneyGuide 产品的调度能力,可访问雾帜智能官方网站:https://www.flagify.com/FriendlyCompany.html。雾帜智能一直以来都在持续拓展 HoneyGuide 产品的应用对接能力,上述清单还在不断扩充中,敬请持续关注。
SOAR 产品 HoneyGuide 自身的开放能力
在倡导安全产商或产品开放接口、开放能力的同时,雾帜智能自身也保持了高度的开放性。雾帜智能 SOAR 产品 HoneyGuide 从设计之初就具备了开放的架构和扩展的能力,包括标准化的 API。 在产品后台设置生成授权 Token 后,用户可以通过 HoneyGuide API 与系统进行交互,包括典型的应用场景,如:API 创建一个安全事件、API 获取事件处置进展、获取系统消息、更新事件状态、审批操作请求等等。
HoneyGuide-SOAR 产品(广告时间到)
雾帜智能:
2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。
HoneyGuide:
2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世:
- 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题;
- 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。
HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。
线下交流:
欢迎所有对雾帜智能公司以及 AI 人机协同、SOAR 相关技术感兴趣的客户、合作伙伴和我们交流。联系方式:关注公众号,查看服务菜单。
往期参考:
- 为什么你的应急响应需要 SOAR?
- 关键时刻,你需要一名智能队友!
- SOAR 安全编排自动化与响应 (视频 Demo)