文 / 中国工商银行业务研发中心 邢家鸣 王贵智

随着计算机网络技术的发展,企业对网络信息安全的要求也日益增高。出于安全纵深防御的需要,传统企业选择堆叠安全设备,比如防火墙、入侵检测系统、入侵防御系统、防病毒软件等。安全设备的堆叠势必会导致安全告警的增加,在处理这些安全问题时,安全运营人员往往使用不止一种手段解决问题,这也增加了安全运维人员的工作量。为有效协调多个安全设备或服务,SOAR技术应运而生。

一、SOAR技术概述

1.SOAR技术的发展

SOAR最早由Gartner在2015年提出,当时Gartner将其定义为安全运维分析与报告(Security Operations Analytics and Reporting )。随着安全运维技术的快速发展与演变,到了2017年,Gartner重新将SOAR定义为安全编排自动化与响应,并将其看作是安全编排与自动化(Security Orchestration and Automation,SOA)、安全事件响应平台(Security Incident Response Platform,SIRP)和威胁情报平台(Threat Intelligence Platform,TIP)三者的结合。Gartner认为,SOAR技术仍在快速发展演化,未来内涵仍可能会发生变化,但是其围绕安全运维、聚焦安全响应的目标不会改变。

Gartner对SOAR的最新描述定义:SOAR是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后,在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。

目前,SOAR技术正处于“青春期”,位于技术成熟度曲线的上升阶段,尚未达到高期望的峰值。

2.SOAR技术的优势

(1)检测威胁更快速

企业应对安全攻击事件的响应速度和效率将对总体成本产生重大影响,在严防安全事件产生的同时,企业需要提升安全攻击事件的发现和处置等速度,以降低事件造成的损失。在使用SOAR技术之前,安全运维人员在发现安全威胁时需要登录各个安全设备查看告警,逐一分析不同安全设备的日志,排除误报并定位问题,操作步骤繁琐并且耗费大量的人力和时间。SOAR技术的引入将安全运营加以自动化,提高了检测和调查效率,能够在第一时间定位风险,节省响应时间。

(2)优化分析过程

根据《思科2019亚太区CISO(首席信息安全官)基准研究报告-中国视点》,我国有39%的企业使用超过10家供应商的产品,有98%的受访企业表示,处理来自多个供应商产品的警报非常具有挑战性,该数据远高于79%这一全球平均水平。不同类型安全设备产生的大量安全告警(尤其包含虚假警报)给安全人员带来监测难度,通过自动化的方式来减少人员精力投入显得尤为重要。

例如,安全分析师要花费大量时间在不同管理面板间切换,四处查看以找出自己所需,设置各个过滤器,关联数据,并在各个系统间不停地复制粘贴。如果能应用自动化从各个不同安全产品中拉取数据,并聚合到易于审阅的单个面板中,就能为安全分析师省下大量的时间以便其对安全事件进行分析。将安全分析师与不同安全产品的交互加以编排和自动化,能获得很高的投资回报。

(3)安全运营流程标准化

在未使用SOAR技术时,不同的安全运维人员由于人员的思路不同与水平不同,对于相同的安全事件的处理方式也有所不同。使用SOAR技术将公司的安全运营流程进行数字化管理,每一次安全事件的对应处理过程都在统一标准、统一步骤下执行,有迹可循,避免人员能力的差距导致处置实际效果不可控。

将能力水平较高的安全专家的安全处置经验固化成预案,可以让不同的人都遵循同一种安全处置方法来应对同一类型的安全事件。使用SOAR技术还可以避免因为个人的离职导致企业某一领域的安全能力缺失。

通过对公司安全的运营流程进行数字化管理、数字化执行、数字化KPI评估后,管理者可以评估哪些流程基本无用,哪些流程执行效率不高,哪些流程发挥了最大的作用,甚至可以发现哪些安全设备在所有流程中被使用的价值最大,从而为以后的安全投资决策、安全团队建设决策提供数字化支撑。

3.SOAR的核心技术力

就目前而言,SOAR的三大核心技术力分别是安全编排与自动化、安全事件响应平台、威胁情报平台。

(1)安全编排与自动化

安全编排和安全自动化是两个不同的概念。其中,安全编排是指将不同的系统或者一个系统内部不同组件的安全能力通过可编程接口(API)和人工检查点,按照一定的逻辑关系组合到一起,用以完成某个特定安全操作的过程。譬如,用户针对一封收到的可疑邮件进行深入检测与响应的过程,可分解为:根据拆解出来的发件人、URL连接和IP等信息查询威胁情报系统,将附件送入沙箱系统进行分析,并根据情报系统和沙箱系统返回的信息进一步决定是否要通知邮件系统删除该邮件或者附件,是否通过EDR获取收件人终端上的进一步信息做分析等。对可疑邮件分析的过程就是一个将邮件系统、威胁情报系统、沙箱系统、EDR等系统通过一定的逻辑编排到一起的实例。

安全自动化在这里特指自动化的编排过程,也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的API实现的,那么它就是可以自动化执行的。与自动化编排对应的,还有人工编排和部分自动化编排。

无论是自动化的编排还是人工的编排,都可以通过剧本来进行表述。而制成剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本,SOAR通常还提供一套可视化的剧本编辑器。

剧本是面向编排管理员的,让其聚焦于编排安全操作的逻辑本身,而隐藏了具体链接各个系统的编程接口及其指令实现。SOAR通常通过应用和动作机制来实现可编排指令与实际系统的对接,应用和动作的实现是面向编排指令开发者的。

(2)安全事件响应平台

安全事件响应平台在SOAR出现之前就一直存在,顾名思义就是一个针对安全事件进行响应和处置的平台。但是在SOAR出现之后,安全事件响应与安全编排与自动化的结合使得响应的能力获得了极大的提升。通常,安全事件响应包括告警管理、工单管理、案件管理等功能。

告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查,只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。

工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。

案件管理是现代安全事件响应管理的核心能力,能够帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证(IOC)和攻击者的攻击过程指标信息,能保障多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。

(3)威胁情报平台

威胁情报平台是Gartner在2014年定义的一个细分市场,通过对多源威胁情报的收集、关联、分类、共享和集成,以及与其他系统的整合,协助用户实现攻击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。目前威胁情报平台有的独立存在,有的依附于威胁情报服务,还有的跟安全响应结合,融合到SOAR里。

(4)SOAR主要功能

综上,一个具有SOAR技术的平台应该有如下基本功能:

  • 一是平台应该支持不同安全设备数据信息(日志、告警等)的导入,并提供可能的关联分析功能。

  • 二是平台应该支持自动化功能,安全运维人员可以将重复的工作设置成一个剧本,平台可以将剧本的内容自动化执行,并且执行过程能够整合既有的知识库、经验。

  • 三是可定制的可视化分析和展现,可以定制仪表盘等展现内容。

  • 四是内容分享、沟通和交互,充分利用沟通平台,提高反应速度。

二、SOAR技术的分析

1.SOAR逻辑结构

我们对SOAR技术进行了简单的实现。安全设备和SOAR平台的逻辑结构如图1所示。

图1 安全设备和SOAR平台的逻辑结构

2.基于SOAR的实现方式

根据图1,我们认为应该这样构建SOAR的实现流程:

(1)首先通过某种方式,比如syslog来收集安全设备的数据,了解数据的组成方式,将翻译后的数据进行标准化处理,统一发送至事件分析平台。

(2)事件分析平台将收到的数据进行归类分析,建立起不同设备的数据间的相关性,通过一定的规则来对报警进行归类后作二次告警,提高告警的准确性。

(3)安全运维人员查看事件分析平台的告警,进行人工分析,确认报警后将事件转入事件响应平台。

(4)事件响应平台中集合了各种安全响应设备的使用接口,如果该类告警已经出现过,且安全人员已经固定好了该类告警的处理方式,就可以不经过步骤(3)的人工分析直接对该告警进行响应。例如,对于某IP发起大量攻击报警的情况,安全运营人员就可以预设自动化处理规则。该事件一旦出现,事件响应平台将直接调用防火墙接口并设置该IP规则为deny,实现事件的自动处理。如果在步骤(3)中,这类攻击之前并未发生过,但是安全运维人员判断需要将其在防火墙侧封禁,那么就可以手动调用事件响应平台中的防火墙封禁功能。如果有需要,还可以将这次的流程继续固化下来优化自身的方案。

三、总结与思考

本文对SOAR技术在金融安全防护方面所践行的简单实现进行了剖析。综合来看,SOAR技术目前表现良好,在未来的安全技术方面一定会占有一席之地。在对SOAR技术使用的同时,我们也进行了一些反思。

目前,国内传统大型金融企业在科技设备上的选择上会偏向于国产厂商的产品。

  • 首先,不同厂商的同一类型产品会应用不同的标准,国内与国际厂商的产品也会有诸多不同,这样在实现SOAR的第一步的数据整合上就需要投入很大的人力物力。

  • 其次,国际上提供SOAR服务的厂商有很多,但是以创业公司居多,知名厂商为完善自身的产品选择收购提供SOAR服务的公司。目前国内具有成熟SOAR产品的厂商较少,大多数尚处于研究阶段。Gartner最早在2013年提出威胁情报的概念,但是在2019~2020年才迎来威胁情报本地化的大规模应用。同样的,我们认为SOAR在国内的应用还有一段路程要走。

  • 最后,单纯的自动化技术实现并不是安全事件分析的难点,SOAR技术在安全应用中的主要挑战在于安全分析的工作不仅仅是简单的IT流处理,也涉及许多业务信息工作,以目前的自动化技术实现程度还不足以完全满足当前安全复杂度的需求。

综上所述,SOAR技术具备深入研究的价值和广阔的探索空间,随着知识图谱技术的发展、标准化进程的推动,SOAR技术将逐步走向成熟,成为未来安全领域的又一重要技术。

声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。