2015 年,Gartner 将 SOAR 定义为一个平台,它能够利用机器可读的有意义的安全数据来提供报告、分析和管理功能,以支持组织中的安全运营团队。正如每一项技术一样,行业需求和灰色地带为创新解决方案铺平了道路。同样,网络安全也在不断演变,也在不断攀升。在这篇文章中,我们看看什么是 SOAR,SOAR 的各种组件,以及基于 SOAR 的安全运营解决之道。
1. 介绍
保护业务不受网络攻击的责任在于内部安全运营团队。毫无疑问,攻击者正在不断改进和升级他们的工具和技术。此外,通过绕过传统的安全控制,他们可以很容易地渗透到业务网络中。从业务的角度来看,这种情况会进一步恶化,因为许多员工没有遵守基本的安全实践,最终成为社会工程攻击的受害者。人是网络安全生态系统中最薄弱的一环,人的失误往往会导致企业实施安全控制的效率出现问题。
随着攻击的复杂性不断增加,内部安全运营团队的工作不会变得更容易。要成功地缓解安全事件,首先需要检测它。目前检测事件的平均时间已经减少了,但对于 APT 的分析过程仍然是相当长的时间。根据调研发现,金融公司平均需要几十天来检测一个事件,而一般消费类公司可能需要大约上百天。一旦发现,成功的对威胁进行消除和恢复同样是具有挑战性的方面。随着越来越多的监管/法律要求,合规的负担也成为焦点。
为了解决这些问题,企业构建大量的安全分析类工具。但目前的现状是在一天的大部分工作时间里,内部运营团队的时间都浪费在了处理误报上。
为了有效地监视组织的安全性,工具和技术是一个方面。拥有适当的文档化的策略和过程,以及以最大的优化和效率执行它们的能力是必要的。同样,一些企业已经编制了文档,而许多企业只编制了某些策略,它们继续依赖于临时应急响应计划。
当企业寻找能够从现有工具收集数据并将其显示在一个集中的仪表板中,同时对生成的告警采取自动化操作的解决方案时,SOAR 就会出现。
Gartner 作为安全理论及实践方面的权威,对 SOAR 进行了全面的定义。它将 SOAR 定义为:使组织能够收集来自不同来源的安全威胁数据和警报的技术,在这些技术中,可以利用人工和机器的组合力量来执行事件分析和分类,从而帮助定义、确定优先级,并根据标准工作流驱动标准化的事件响应活动。SOAR 工具允许组织以数字工作流格式定义事件分析和响应过程,这样一系列的机器驱动的活动就可以实现自动化。
2. SOAR-安全编排响应自动化
2.1. Security Orchestration
安全编排是一种通过集成多个系统和平台来调整不同的安全工具和技术的方法,以简化安全流程,增强安全自动化以加速事件响应。它有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流。与人工协作相结合,安全编排将人员、流程和技术集合在一起,以提高安全操作团队的整体效率。
安全编排主要包含以下几个方面:
- 能够做出明智的决定并协调整个过程
- 响应的规范化和自动化
- 充分考虑风险动态及环境感知。
具体来说,在一个 SOAR 平台上,它从各种工具收集日志及告警信息,关联分析它们的紧迫度及危险性,启动并执行事件响应,同时测量整个响应过程。
例如,一个异常外联事件报告给一个 SOC。分析人员将针对来源主机进行取证,以确认主机内是否存在异常进程、异常服务、及异常病毒文件等行为以判定当前主机是否已被攻陷,并获取到所有的取证信息,这些取证过程都必须通过分析人员人肉来执行。而在 SOAR 中,边界防护安全系统、沙箱系统、EDR 系统等将会被整合。一旦平台收到异常外联事件,业务流程将启动来自各种来源的数据收集,并在某个统一视角下呈现形成 APT 威胁场景。如果 SOAR 拥有针对当前 APT 威胁的自动化处置脚本,将自动启动适当的事件响应操作,如果没有,将由分析人员做出最终决定并基于本次响应结果,固化成自动化响应脚本,作为下次类似威胁场景自动化处置手段。整个安全运营业务流程通过协调涉及不同底层工具的整个流程,大大减少了上下文切换时间,即在不同工具之间切换所花费的时间。
理想情况下,安全编排应当提供与大多数的安全厂商集成功能。这种集成应该是在数据输入方面的双向性,即,推送数据和提取数据;以及丰富的特性,即,灵活和可定制化的 API,以便充分利用供应商产品的所有功能。编排必须有一个抽象层,分析人员可以使用这个抽象层为特定的 API 创建逻辑和抽象,然后通过 SOAR 工具将其转换为 API 调用。
2.2. Automation
自动化,作为编制的一个子集,指的是在整个流程中或部分流程中,通过层次较高的任务 (或称为剧本) 执行大量任务。内部安全团队可以使用它来改进性能、准确性和采取行动的时间。
自动化应该通过一组标准的步骤、决策过程和指令来指导用户。它必须要有足够的灵活性,例如在关键分析或响应的节点,将人的决策过程纳入到自动化流程中。工作流应该在预先确定的操作集上运行,并提供检查状态、执行和审计的功能。
2.3. Response
SOAR 解决方案的第三个组成部分使它在许多方面比传统的安全解决方案更有效。Response 处理事件的整个生命周期—警报的生成、其验证、自动响应、人工干预、缓解和报告。该组件由多个子组件组成,例如:
- 告警的处理和分类
SOAR 从各种安全工具收集数据,并将它们显示在一个集中的仪表板中,供内部安全团队评估生成的告警。大多数此类告警由 SOAR 解决方案自动处理,因为它们要么是通用的,要么在许多情况下是误报。根据收集到的数据,还对告警的紧迫性和危险性进行了评级,以便需要人工干预的告警按顺序从高度临界开始处理。数据在整个过程中被收集形成证据链,并相应地提供给各种安全分析人员及运营人员使用
- 记录和证据支持
保持对所采取的行动的跟踪,不管是自动的还是手动的,为了保持责任是必要的。
它们还在满足法律/规章要求方面发挥作用。
- 调查与威胁情报
当内部安全团队分析警报时,SOAR 工具应具有在整个过程中存储人工制品的能力。这些人工制品在按时间顺序演示操作和审计期间的最终决策时非常有用。
来自多个来源的威胁情报数据以及 SOAR 解决方案提高了识别假阳性警报的效率。
Ø 案例管理及工作流程
为了快速处理生成的警报,SOAR 解决方案应该建议在需要手动或部分手动干预的情况下采取一组操作。建议包括剧本、api、脚本等。必须提供一个专注于工作流自动化和策略执行的专用用户界面。
3. 绿盟 SOAR 实践
3.1. 绿盟 SOAR:Orchestration
3.1.1. Out-of-box integration connectors
绿盟科技采用自研的 SecDevOps 框架,工程人员可以基于标准插件化模板编排不同设备厂商不同数据类型的数据接入模型,快速集成并实现插件的在线激活及接入,实现数据源的开箱即用的能力;
同时工程人员可以基于标准插件化模板编排不同设备厂商不同管控设备的管控模型,快速集成并完成管控设备插件的在线激活及接入,实现管控设备的开箱即用能力
3.1.2. 利用 playbook 实现响应编排能力
利用系统提供的丰富的 playbook SDK,通过 playbook 剧本的工程化编制,实现:
针对对威胁场景,依据当前已收集的取证信息,根据威胁的攻击方式、其对应病毒传播方式、紧迫程度等,制定的响应策略 (包括响应动作,响应动作的紧迫度/优先级) 实现对响应动作的编排
针对威胁场景所采取的某一响应动作,依据防护设备防护策略,进行响应动作的防护设备的选排过程,
3.2. 绿盟 SOAR:Automation
3.2.1 多层级自动化
针对已知威胁并固化了相应 playbook 执行脚本的案例,当威胁发生时并送入到 SOAR 平台中,SOAR 引擎自动调用固化的 playbook 脚本,依据 playbook 固化的处理流程及处理优先级,实现对威胁的全局封堵、被感染主机清除及被影响主机的加固等过程。
针对未知威胁尚未形成相应的 playbook 执行脚本时,系统在威胁研判过程逐步形成的威胁证据链,依据威胁的紧迫度及危险程度等条件,依据响应优先级 (优先级从高到低:阻断传播路径 - 清除 - 加固) 调用微场景化的通用 playbook 执行脚本,实现对威胁的全局封堵、被感染主机的威胁清楚及被影响主机的加固过程等。微场景化的通用 playbook 脚本包括:
- 全局通用 playbook 脚本如:block-ip、block-url、ip-isolation 等;
- 被感染主机通用威胁清除 playbook 如:kill-process、delete-file、kill-task、disable-service、clear-registor 等
- 受影响主机的通用加固 playbook 如:disable-service、add-NF-rule 等。
在通过微场景化的通用脚本处置完成并经过验证无误后,系统可以根据已经执行的通用 playbook 进行编排生成固化的针对当前威胁案例的 playbook,后续当相同威胁进入网络中,SOAR 则依据处置的优先级及紧迫度,依次执行固化后的响应剧本。
3.2.2 自动化 playbook 生成
绿盟科技采用 blockly 框架技术,以所见即所得的方式,基于图形化界面以拖拽方式进行 playbook 的自动化生成。 大幅度提升 playbook 的编排过程,并降低人为因素导致的 playbook 剧本编制过程的错误。
3.2.3 自动化和人工处理的融合
在 playbook 的自动化执行过程中,提供的 playbook SDK API 支持完整的工作流支持能力,在 playbook 执行的任何节点,可以和人工 workflow 进行交互,可以有效实现自动化处理和 workflow 人工处理的有效结合,保证运维的精准。
3.3. 绿盟 SOAR:Response
利用 NDR/EDR 的管控响应能力,实现设备的自动化联动,构建全方位的响应体系,实现对网络及主机全面的安全自动化运营能力,包括威胁拦截,可疑访问源封杀,被攻陷主机的隔离、威胁消除及未攻陷主机的加固等。
3.4. 围绕 SOAR 的自动化响应生态体系
由于绿盟科技采用的开放性 SecDevOps 框架模式,使得绿盟科技的 SOAR 平台具备:
- 对任意厂家及任意类型数据源的快速集成接入;
- 对于任意厂家 NDR/EDR 设备的快速集成能力。
同时为支持第三方大量及丰富的处置已知威胁的 playbook,我们在针对 playbook 的 SDK 增加了面向第三方的 SDK 适配层,能快速兼容第三方厂家的 playbook 剧本,实现不同厂家 playbook 的跨平台共享及自动化响应
在和第三方的 NDR/EDR 对接中,绿盟 SOAR 平台支持 OpenC2 的南向标准接口,在双方依从 Openc2 规范性的情况下,绿盟 SOAR 平台具备了无缝接入 NDP/EDR 的能力。
基于以上开放性的设计思路,我们会持续将 SOAR 平台打造为 Open-To-Anyone 的开放生态体系
4. 基于 SOAR 的安全运营
4.1. 绿盟安全运营服务目标
绿盟安全运营服务,就借助于一系列的安全监测、分析、响应等技术平台,特别是借助于 SOAR 的自动化及实时响应能力,通过 7*24 小时持续性运营保障,切实做到在事前依据有效精准的预测实现对网络系统的加固、在事中依据精准分析快速有效的做到拦截和封杀;事后依据完整精确的取证信息对系统进行快速隔离、清除、加固,以保证客户的网络体系及业务的安全运行。
4.2. 绿盟自动化安全运营联动体系
SOAR 是自适应安全架构体系中的重要一环,依托 SOAR 的编排自动化响应能力,才能最终实现安全运营从应急响应向持续的自动化响应的迈进。
在绿盟科技整个安全运营体系中,将 MDR 及 SOAR 的能力有机的和绿盟安全态势平台融合实现了安全运营从监测、分析、研判、智能化决策、到编排及自动化响应整个 7*24 小时自适应持续闭环过程。
利用态势平台实现安全数据的监测及智能化分析,利用关联分析、机器学习等技术手段,结合威胁情报,对事件及行为进行识别、推理及智能化预测过程;
基于 MDR,依托威胁狩猎 + 主动取证等技术手段,实现事件、行为的轨迹取证、对响应数据进行收集确认。
基于 SOAR,针对已知威胁,通过已经编排固化的 playbook 剧本,实现对威胁的自动化处置闭环;对于未知威胁,根据 MDR step-by-step 的取证过程,依据威胁的紧迫度等实现响应动作优先级的,并针对响应设备进行编排,下发响应动作;
依托 NDR、EDR 的联动响应能力,实现安全威胁拦截、封堵、清除,并最终实现系统加固以防止下一次被攻陷的可能。
4.3. 绿盟安全运营流程案例
利用以上的安全运营的联动体系,绿盟科技不仅保证了安全运营流程的闭环过程,同时保证安全运营闭环的实时性和高效性,有效的做到了事中的拦截和封堵,事后的隔离、清除。并在下一次的攻击前做到事前的加固。
如下是绿盟科技依托 SOAR 实现的全局封堵、失陷主机清除、未失陷主机加固的全流程:
5. 结束语
SOAR 理念引入及逐渐发展完善,同时结合前期的威胁狩猎 + 主动取证等分析手段,将大幅度提升安全运营的效率,以上面挖矿威胁为例,在我们的平台上实现从威胁的发现到响应动作的完成,基本在秒级。这仅仅是开始,我们有理由相信,在未来的几年里,SOAR 作为自适应安全体系中的一环,将发挥越来越重要的作用。
参考来源: