認識SOAR-安全事件編排自動化響應

SOAR是最近幾年安全市場上最火熱的詞彙之一。SOAR究竟是什麼，發展歷程是什麼，能夠起什麼作用，帶着這些問題我們來認識一下SOAR。

一、SOAR是什麼

SOAR 一詞來自分析機構 Gartner，SOAR-Security Orchestration, Automation and Response 安全編排和自動化響應。在Gartner的報告裏，SOAR平臺的核心組件爲，編排與自動化、工作流引擎、案例與工單管理、威脅情報管理。而SOAR體系則是三個概念的交叉重疊：SOAR=SOA+SIRP+TIP
1）精密編排的聯動安全解決方案(SOA)；
2）事件應急響應平臺(SIRP)；
3）威脅情報平臺(TIP)。

二、SOAR的發展歷程

2015年，可以定義爲SOAR的1.0時代。Gartner將SOAR(當時被認爲是“安全運維分析和報告”)描述成爲安全運維團隊提供機器可讀的安全數據報告和分析管理功能的產品。2017年，SOAR進入2.0時代。Gartner提出了“安全編排、自動化及響應”(SOAR)這個術語，用以描述脫胎於事件響應、安全自動化、場景管理和其他安全工具的一系列新興平臺。Gartner觀察到三種以前截然不同的技術：安全編排和自動化(SOA)、安全事件響應平臺(SIRPs)和威脅情報平臺(TIPs)，正在逐步融合到一起。
根據Gartner2019年最新定義，SOAR是指能使企業組織從SIEM等監控系統中收集報警信息，或通過與其它技術的集成和自動化協調，提供包括安全事件響應和威脅情報等功能。SOAR技術市場最終目標是將安全編排和自動化(SOA)、安全事件響應(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。

根據Gartner預測，到2022年，有30%大型企業組織（安全團隊超過5人）將在安全和運維的工作中使用SOAR，這一比例遠超當下5%。當下SOAR技術的早期擁護者是那些已經擁有成熟安全運維中心，並且能夠理解SOAR帶來好處的那些成熟的安全組織。

三、SOAR主要解決什麼問題

隨着網絡安全攻防對抗的日趨激烈，網絡安全單純指望防範和阻止的策略已經失效，必須更加註重檢測與響應。企業和組織要在網絡已經遭受攻擊的假定前提下構建集阻止、檢測、響應和預防於一體的全新安全防護體系。在國際上，檢測和響應類產品受到了極大的關注。放眼國內，更多的注意力集中到了新型檢測產品，尤其是未知威脅檢測領域。藉助這些產品和技術，用戶獲得了更低的 MTTD（平均檢測時間），能夠更快更準確地檢測出攻擊和入侵。但是，這些產品和技術大都沒有幫助用戶降低 MTTR（平均響應時間）。事實上，對於用戶而言，更快地檢測出問題僅僅是第一步，如何快速地對問題進行響應更加重要。而在提升安全響應效率的時候，不能僅僅從單點（譬如單純從端點或者網絡）去考慮，還需要從全網整體安全運維的角度去考慮，要將分散的檢測與響應機制整合起來。而這，正是 SOAR 要解決的問題。
Gartner指出，SOAR可供公司企業收集不同來源的安全威脅數據和警報，運用人機結合的方法進行事件分析與分類，根據標準流程輔助定義、排序和驅動標準化事件響應行爲。SOAR主要爲安全團隊提供定製化的流程和控制，彌合併加速有效網絡威脅的調查與緩解。安全運營團隊的大量日常事務性工作也可以藉助SOAR加以自動化。而且，案例戰術手冊還可以幫助分析師在單一平臺上響應和緩解威脅，節約事件響應的每一分每一秒寶貴時間。
Gartner 用 OODA 模型，來描繪一個典型的安全運營流程。OODA 即 Observe(觀察)、Orient(定位)、Decide(決策)、Act(行動)。

• 觀察：觀察事件並確定發生了什麼，即通過各種檢測、分析工具，比如 SIEM 類工具，找到威脅線索，如告警
• 定位：確定觀察的方向，並添加上下文來確定觀察的含義，即對產生的告警的內容做調查、豐富化。比如查找外網域名的威脅情報，查找此 IP 的歷史行爲協助研判等等。
• 決策：根據業務的風險容忍度和能力決定適當的響應行動，即判定是否需要對此告警採取行動，比如是否需要封禁，是否影響業務，是否需要進一步觀察。
• 行動：根據決定採取行動，並應用到觀察過程中，然後重複，即執行確定的安全策略，並驗證。每一步都對下一步提供了指導，週而復始，構成了一個良性促進的進化循環，不斷優化企業的安全運營流程以應對不斷變化的安全威脅。
  

OODA 環看起來邏輯清晰，易於操作。但事實上， OODA 環裏的豐富化、調查取證、驗證、執行安全策略變更等等，都是耗時耗力的工作。加上安全設備一直以來的誤報問題產生的噪音，以及安全人員工作負荷重，資深從業人員短缺等原因，難以真正有效的推進 OODA 循環。更不用提在 HW 時段高強度的工作壓力下，如何能夠有條不紊的保持一貫的處置流程來處理每一個安全線索。SOAR 正是在這個背景下被提出，並被寄予厚望。SOAR 的核心，就是將安全流程或預案，即 OODA 循環的每一個實例，比如蠕蟲爆發處理流程、挖礦病毒告警處理流程、疑似釣魚郵件處理流程等等，數字化管理起來形成 Playbook。用自動化完成其中所有可能自動化的動作，無法自動的仍然交由人來處理，通過可視化編排工具將人、技術和流程有機的結合起來，形成標準統一的、可重複的、更高效的安全運營流程。

四、SOAR的核心功能

從SOAR安全編排自動化響應的字面定義來看SOAR應該具備三大核心能力，編排、自動化、響應

編排

SOAR中的關鍵詞是編排，這是在使用自動化和響應之前必須構建的關鍵組件。SOAR的編排體現的是一種協調和決策的能力，針對複雜性的安全事件，通過編排將分析過程中各種複雜性分析流程和處理平臺進行組合。分析涉及多種數據或平臺，如SIEM分析平臺、漏洞管理平臺、情報數據、資產數據等。處置響應的編排也涉及到很多平臺或設備，如EDR管理平臺、運維管理平臺、工單管理平臺、WAF設備、防火牆等。僅僅以技術爲中心的安全保障已不再能滿足現狀，將人員和流程的編排才能保證安全流程真正高效的運行。SOAR的終極目標就是實現技術、流程、人員的無縫編排。

自動化

SOAR的自動化體現在三個方面，面對需要處理的安全事件能夠根據策略自動選擇編排的劇本、自動執行劇本的操作流程、根據決策結果自動聯動設備進行防護阻斷等行動策略。它允許劇本（常稱爲Playbooks）在安全流程的部分或全部內容上執行多個任務，將線性劇本串聯起來。雖然線性劇本可能更容易創建，但只適用於處理決策需求較少的工作流。編排和自動化比線性劇本的最大優勢就是其靈活性，爲支持全自動化和半自動化的決策，需要更加靈活的工作流和執行劇本。SOAR能夠識別這些決策模式，並基於以往事件中的執行操作，自動推薦新事件的劇本、執行劇本操作流程，自動化分析決策，根據決策結果自動下發防護阻斷的行動策略。

響應

安全事件響應包括告警管理、工單管理、案件管理等功能。告警管理的核心不僅是對告警安全事件的收集、展示和響應，更強調告警分診和告警調查。只有通過告警分診和告警調查才能提升告警的質量，減少告警的數量。工單管理適用於中大型的安全運維團隊協同化、流程化地進行告警處置與響應，並且確保響應過程可記錄、可度量、可考覈。案件管理是現代安全事件響應管理的核心能力。案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置，並不斷積累該案件相關的痕跡物證 (IOC) 和攻擊者的戰技過程指標信息 (TTP)。多個案件並行執行，從而持續化地對一系列安全事件進行追蹤處置。

事件響應是SOC操作中非常複雜的部分，理想狀態下，它將是一個有效的動態過程，涉及數十種相互關聯的技術、IT、業務流程和整個組織的人員，將是持續性適應風險和信任評估（Continuous Adaptive Risk and Trust Assessment, CARTA）策略用於在持續監測和可視性方面時，SOC團隊可使用SOAR技術執行連續活動，利用SOAR技術通過智能化編排與響應最大程度的將已有安全技術進行整合，提高整個安全事件的解決能力和效率。基於編排和自動化前期對事件的分析，SOAR所提供的響應技術是完善整個事件生命週期，提高解決安全威脅效率的關鍵一環。本質上，SOAR的最終目標是促進安全團隊對事件有全面的、端到端的理解，完成更好、更明智響應。

五、SOAR的價值

1、縮短響應時間
通過自動化技術，儘可能多的自動完成一個安全事件處置流程中相關步驟，從而縮短響應時間即 MTTR。
2、釋放人力
讓安全專家從繁重的重複勞動中釋放出來，將時間放在更有價值的安全分析、威脅獵捕、流程建立等工作上。
3、安全運營流程標準化
將公司的安全運營流程數字化管理起來，每一次安全事件的對應處置過程都在統一標準，統一步驟下執行，有跡可循。避免人員能力的差距導致的處置實際效果不可控。
4、避免能力斷層
將安全專家的經驗固化成處置預案Playbook，讓不同的人都可以遵循同樣的方法來完成特定安全事件的處置流程，避免因爲個人的離職導致某個領域的安全能力缺失。
5、運營流程指標可度量
因爲運營流程都通過 Playbook 數字化管理且每一次的執行過程都記錄在案，因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可評估、可度量、可追蹤。
6、安全運營決策支撐
通過對公司的所有運營流程數字化管理、數字化執行、數字化KPI評估後，管理者可以有效的評估什麼流程基本無用，什麼流程執行效率不高，什麼流程發揮了最大的作用，甚至什麼安全設備在所有流程中被使用的價值最大。從而爲以後的安全投資決策，安全團隊建設決策提供有價值的數值化支撐。

六、SOAR與其他安全產品的關係

SOAR定位於安全運營操作平臺，它收集不同來源的安全威脅數據和警報，事件來源於其他的態勢感知平臺、SIEM、日誌分析系統或安全人員人工錄入需要處理的事件。通過調用安全設備的能力如：情報平臺、資產管理平臺、漏洞掃描平臺、EDR管理平臺、運維管理平臺、工單管理平臺、WAF設備、防火牆來實現對安全事件的分析、溯源、取證、處置、通知等。一端接安全事件源，一端對接安全設備能力。通過SOAR本身的編排能力將人員、設備、資源、流程協同起來。每個企業部署流程和技術並不相同，SOAR在實際落地應用過程中並不能“即插即用”，需要對接事件源、對接各類聯動處置設備，根據企業具體的實際情況定製劇本流程。對接的實際安全設備能力數量以及劇本的積累，是SOAR平臺能夠很好的支持運營的關鍵。

作者博客：http://xiejava.ishareread.com/