谈谈情报引领的安全体系建设落地

文/叶蓬

1月3日，我所在公司和我本人受邀参加了奇安信主办的奇智威胁情报峰会。本次大会主题是研究“内生威胁情报”。我被安排在“威胁情报下安全体系建设的演进”沙龙环节与主持人和另外4位嘉宾进行共同讨论。

针对本次大会的主题，以及参加的这个沙龙的议题，我提前做了一些准备。当然，在沙龙现场，要跟随主持人的节奏和交流讨论的内容来实际进行交流。因而，我感觉我对这个议题的思考并没有在会上充分的表达出来。

有鉴于此，这里我将我的思考比较系统地进行陈述。思考的内容是：情报引领的安全体系建设落地。

从2001年到现在，我已经从事SOC领域近19年，见证了国内SOC平台的几乎整个发展历程。从最早以资产为核心的SOC，到以业务为核心的SOC，再到后来数据驱动的SOC，包括威胁情报、漏洞情报在内的各种安全情报在SOC中的地位越来越重要，起到了引领作用。通过将外部情报与用户自身安全要素信息的结合，更好地帮助用户做到知己知彼，看见看清自身的整体安全运行状况和安全态势。

另一方面，不论是国外的Gartner、SANS调研，还是国内的实践，人们已经达成共识，即情报引领的安全体系在用户侧最佳的落脚点是SIEM、SOC类平台系统，因为这类平台汇聚了用户侧最完整的安全数据，可以进行最全面的碰撞比对和情报决策。

因此，可以说，情报引领的安全体系的落地问题，很关键的一环就是情报如何在用户侧的SOC平台类系统上应用起来。而对于安全情报在用户侧落地的场景，我在2016年阿里安全峰会上的发言的时候提到过6个场景，现在看来，依然适用。

图：2016年阿里峰会演讲胶片

当然，随着技术的不断进步，这些场景的应用价值发挥程度得到了深化。其中，我认为，SOAR已经成为促进情报在用户侧落地的一个重要技术。我们可以进一步从两个情报运用场景中来分析。

1、基于威胁情报的事件调查和威胁猎捕。过去，我们在利用威胁情报上，比较多地依赖将用户侧的流量和日志数据与情报进行碰撞比对。事实证明，这种方式存在一定的局限性。如果是高质量、实锤的情报比对还好，但如果大量确定性不是很高的情报直接跟流量和日志比对的话，效率就成问题了，性能是一方面，触发的告警也会变得很多，分析师受不了。因此，改进的方案是先通过其它分析手段发现问题，然后再通过情报比对进行核实和扩线追踪，这时候比对的性能大大提升，情报的指向性也更加明显。此外，在做基于情报的调查和猎捕的时候，情报不是被孤立地利用的，而是要结合用户侧的情境信息，并且要经历多个步骤。借助编排剧本，以及跟各个威胁情报源的API接口和情境数据的获取接口，具备SOAR能力的SOC平台能够协助分析师进行基于威胁情报的事件调查和威胁猎捕，通过把分析师的人脑决策流程编排化，自动化，提升威胁情报利用的效率。可以说，SOAR让基于情报的事件调查与威胁猎捕效率更高了。

2、威胁情报的快速有效共享。可以说，威胁情报的利用价值核心就在于情报共享。情报共享的过程就是变他知为我知、变未知为已知的过程。如何让受信的我方最快获悉敌情，是提升安全防护总体效率的关键。情报引领的安全体系建设成效的关键KPI就是情报分享的速度和效能。从技术支撑上来说，我认为传统的SOC或者其它态势感知平台在自动产生高价值内部威胁情报并自动分享情况这块缺少技术支撑，表现不尽人意。仅从情报分享来看，就会涉及到多个环节、多种角色人员，需要多个步骤和冗长的过程。而SOAR的出现，将有可能改变这种局面。借助编排化剧本和开放的APP接口，将可以将内生情报生成以及共享的全过程体系化、流程化、剧本化、自动化。

当然，SOAR能做的事情远不止情报利用、调查、生成、共享，它能够将各种安全运维的流程体系化、剧本化。通过将用户侧分散的安全能力API化，功能化、服务化，再通过编排的手段实现软件定义安全运维，并最终实现软件定义的安全体系。

最后，简单小结一下：情报引领的安全体系建设在客户侧落地需要借助SOC平台，要将情报与SOC平台紧密结合，要把SOAR融入SOC平台之中，实现可编排的安全运维，并不断提升自动化水平。

声明：本文来自专注安管平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。