信息化觀察網(wǎng)

SOAR是什么？

Gartner 在 2017 年年底對(duì) SOAR 重新進(jìn)行了定義。由于新的技術(shù)與市場(chǎng)逐漸成熟，SOAR 的概念由 SOA（安全自動(dòng)化與編排）、SIR（安全事件響應(yīng)平臺(tái)）與 TIP（威脅情報(bào)平臺(tái)）三部分組成。從實(shí)踐角度來(lái)看，通過(guò)自動(dòng)化編排能力與威脅情報(bào)能力，實(shí)現(xiàn)風(fēng)險(xiǎn)優(yōu)化、檢測(cè)、溯源與響應(yīng)的行為閉環(huán)。

根據(jù)安全牛對(duì) Gartner 的總結(jié)，理想的 SOAR 系統(tǒng)應(yīng)該有四方面的能力：

1. 編排能力：將不同的技術(shù)整合在一起進(jìn)行協(xié)同工作。

2. 自動(dòng)化能力：讓機(jī)器可以像人類(lèi)一樣處理工作。

3. 事件管理與協(xié)同能力：人與人之間，不同部門(mén)/分組之間成員對(duì)事件的協(xié)同管理。

4. 儀表板展示能力：將事件、環(huán)境信息以可視化的方式提供給相關(guān)人員。

一年半過(guò)去了，SOAR 產(chǎn)品的完善度似乎未達(dá)到理想的地步。大部分廠商的產(chǎn)品都在 SOA、SIR 與 TIP 三個(gè)領(lǐng)域中的某一個(gè)領(lǐng)域深耕，很少有能夠同時(shí)提供三個(gè)領(lǐng)域能力的廠商。

作為安全界內(nèi)全球大廠 IBM，他們的 SOAR 產(chǎn)品 IBM Resilient 目前在全球已經(jīng)有 200 多個(gè)大型客戶在實(shí)際應(yīng)用。那么，他們的 SOAR 產(chǎn)品又和 Gartner 所提出的理念有什么改進(jìn)？

IBM 有個(gè)不同的 SOAR?

Gartner 認(rèn)為的 SOAR 是由 SOA、SIR 與 TIP 三種能力組成，而 IBM 的 Resilient 系統(tǒng)卻是由 SOA、Case Management、與 AI & Human Intelligence 三部分組成。

SOA（安全自動(dòng)化編排）是 IBM 與 Gartner 提出的理念共有的部分，使得 SOAR 平臺(tái)可以統(tǒng)籌安排并自動(dòng)執(zhí)行事件響應(yīng)的能力，全面應(yīng)對(duì)各類(lèi)復(fù)雜的攻擊。通過(guò)整合來(lái)自人員、流程和技術(shù)方面的信息，能為分析師提供相關(guān)的信息和工具，幫助分析師快速地做出最恰當(dāng)?shù)臎Q策。同時(shí)，Resilient 借助 IBM 自身?yè)碛腥蜃畲蟮穆┒赐ㄖㄒ?guī)數(shù)據(jù)庫(kù)之一，能夠簡(jiǎn)化交付必要漏洞通知的流程。

那么，在基于 IBM 大量的業(yè)界最佳實(shí)踐的基礎(chǔ)上，Case Management 與 AI & Human Intelligence 又與 Gartner 提出的 SOAR 理念有什么不同之處呢？

我們很多時(shí)候都是將事件作為一個(gè)單點(diǎn)來(lái)看：當(dāng)事件發(fā)生后，安全團(tuán)隊(duì)和系統(tǒng)采取某種措施進(jìn)行響應(yīng)，而在這些環(huán)節(jié)中，似乎人員（安全團(tuán)隊(duì)）、系統(tǒng)（某些安全設(shè)備）、發(fā)生的事件都是作為事件中零散的屬性而存在。但是，事實(shí)上，當(dāng)一個(gè)事件發(fā)生時(shí)，往往牽涉到了不同的部門(mén)（不同的業(yè)務(wù)系統(tǒng)）、不同的事件需要不同的流程進(jìn)行處理等等。如果我們將安全事件以一種更立體的角度來(lái)看待：從人員角度，在某種安全事件發(fā)生后，企業(yè)需要誰(shuí)來(lái)進(jìn)行響應(yīng)，該如何協(xié)同進(jìn)行工作；從具體行動(dòng)角度，相關(guān)人員需要采取怎樣的一系列措施；從事后分析角度，企業(yè)在這些安全事件中都分別進(jìn)行了怎樣的措施，不同角色進(jìn)行了怎樣的行動(dòng)。通過(guò)從不同的維度進(jìn)行擴(kuò)展，將安全事件不作為一個(gè)單獨(dú)的點(diǎn)進(jìn)行處理，而是一個(gè)有時(shí)間、成員、行動(dòng)等多個(gè)因素組成的場(chǎng)景，或者具體的用例——這就是 Case Management 的概念。

Case Management 功能是 Resilient 在事件管理與協(xié)同能力上的體現(xiàn)。通過(guò)大量的業(yè)內(nèi)最佳實(shí)踐形成的 Knowledge Base，Resilient 可以根據(jù)不同的情形，組織不同團(tuán)隊(duì)、級(jí)別之間的成員進(jìn)行協(xié)同合作，增強(qiáng)不同團(tuán)隊(duì)成員之間的聯(lián)系。另一方面，SOAR 一個(gè)很重要的價(jià)值在于將 “經(jīng)驗(yàn)” 留存在團(tuán)隊(duì)中，從而應(yīng)對(duì)各類(lèi)風(fēng)險(xiǎn)。但是，這些經(jīng)驗(yàn)往往存在于安全人員的大腦之中，但是通過(guò) Case Management 將事件的進(jìn)程、基于角色的行為等進(jìn)行記錄，并且將這些信息作為能力融入到工具之中，可以極大彌補(bǔ)因?yàn)榘踩藛T不在場(chǎng)、離職等原因造成的安全能力缺失。通過(guò) Case Management，企業(yè)能夠以一種進(jìn)程化的方式，解決安全響應(yīng)的問(wèn)題。

當(dāng)人們都在強(qiáng)調(diào)人工智能的時(shí)候，IBM 卻將人工智能和人類(lèi)智能雙管齊下。正如上文說(shuō)的，在安全事件中，很多時(shí)候需要依靠相關(guān)人員的經(jīng)驗(yàn)與知識(shí)去分析和解決。因此，盡管人工智能可以解決相當(dāng)一部分的事件，但對(duì)于一些攻擊的溯源、對(duì)安全狀態(tài)的把握卻依然會(huì)需要人類(lèi)專(zhuān)家來(lái)處理。在 IBM Watson 的支持下，企業(yè)可以享受到人類(lèi)專(zhuān)家?guī)?lái)的經(jīng)驗(yàn)與能力，對(duì)安全態(tài)勢(shì)進(jìn)行更有效地把控。同時(shí)，Watson 可以結(jié)合 IBM X-Force 全球超過(guò) 800TB 的威脅情報(bào)進(jìn)行分析，為企業(yè)提供有效的威脅信息。

IBM 的 SOA、Case Management、AI & Human Intelligence 以自己的理解重構(gòu)了 SOAR 的三個(gè)組成部分，同時(shí)也達(dá)成 Gartner 定義中對(duì) SOAR 的四個(gè)能力要求。其中，Case Management 也被 Gartner 作為事件管理與協(xié)同能力中的一點(diǎn)提出——但是 IBM 的 Case Management 顯然滿足了 Gartner 對(duì)事件管理與協(xié)同能力中所有的要求。事實(shí)上，Case Management 對(duì)廠商而言是有相當(dāng)高難度的：Case Management 不只是類(lèi)似于 playbook 的行為指導(dǎo)，而是基于企業(yè)中不同團(tuán)隊(duì)的協(xié)同，進(jìn)行場(chǎng)景化、流程化的處理，同時(shí)對(duì)行為和事件進(jìn)行記錄，并且基于角色進(jìn)行安全控制。安全本身不再是安全團(tuán)隊(duì)的單獨(dú)行動(dòng)，而是與系統(tǒng)相關(guān)的人員之間的聯(lián)動(dòng)。另一方面，威脅情報(bào)在于有價(jià)值的分析——有經(jīng)驗(yàn)的人類(lèi)專(zhuān)家往往能從中發(fā)現(xiàn)當(dāng)下人工智能無(wú)法發(fā)現(xiàn)的蛛絲馬跡，

SOAR還能幫助合規(guī)？

Resilient 從能力上能分為 SOA、Case Management、AI & Human Intelligence，而從組成模組上則分為了安全 (Security)、行動(dòng) (Action)、隱私 (Privacy) 三個(gè)模組。

值得一提的是隱私模組。安全與行動(dòng)模組承載了 Resilient 的自動(dòng)化編排、響應(yīng)等能力，而隱私模組則是 IBM 針對(duì)近年來(lái)頻發(fā)的數(shù)據(jù)泄露事件以及各種合規(guī)出臺(tái)而設(shè)置的。企業(yè)可以根據(jù)自己所在區(qū)域的不同，配置相應(yīng)的合規(guī)模板，一旦發(fā)生隱私事件，SOAR 能夠指導(dǎo)相關(guān)人員開(kāi)啟隱私事件流程，包括通知相關(guān)機(jī)構(gòu)、客戶等。

隱私模組如今已經(jīng)配置了 GDPR、PCI、HIPAA 等多種合規(guī)要求，幫助企業(yè)在全球不同地區(qū)、商業(yè)領(lǐng)域滿足不同的合規(guī)需求。同時(shí)，企業(yè)也能根據(jù)自身相關(guān)的合同，進(jìn)行合同約束的隱私配置。

盡管 Gartner 并未提及合規(guī)在 SOAR 當(dāng)中的使用，但是顯然合規(guī)與隱私需求也是安全事件中的一環(huán)。IBM 對(duì)隱私與合規(guī)的意識(shí)走在了前沿，在當(dāng)下各種合規(guī)要求的出臺(tái)情況下顯得尤為重要。企業(yè)自身的安全固然相當(dāng)重要，但是將相關(guān)安全事件通報(bào)受影響人以及相關(guān)機(jī)構(gòu)，能從更大范圍上對(duì)安全事件進(jìn)行處理。因此，合規(guī)也尤為重要。

讓我們看看SOAR的實(shí)際效果

既然 Resilient 已經(jīng)在全球有 200 多的應(yīng)用客戶，那么他們到底為自己的客戶解決了什么樣的問(wèn)題？這里有兩家企業(yè)可以供于參考。

法國(guó)的一家醫(yī)療保險(xiǎn)公司，擁有 2,000 多名員工，在全法國(guó)有龐大的運(yùn)營(yíng)網(wǎng)絡(luò)，包括近 21,000 家分公司以及 200 多個(gè)辦事處，客戶數(shù)超過(guò) 130 萬(wàn)。由于醫(yī)療保險(xiǎn)公司本身?yè)碛写罅康目蛻裘舾行畔?，公司需要在合?guī)、安全的基礎(chǔ)上，對(duì)數(shù)據(jù)進(jìn)行高效的管理和使用。

該醫(yī)療保險(xiǎn)公司本身已經(jīng)使用了 IBM Security 的解決方案，但是為了滿足進(jìn)一步需求，該公司提升了多個(gè) IBM Security 的相關(guān)組件。另外，該公司從物理形式的 Resilient 軟件解決方案遷移到了 SaaS 解決方案，并且在其安全運(yùn)營(yíng)中心 (SOC) 部署，用以管理事件響應(yīng)。

在新的解決方案下，新安裝的 IBM QRadar Network Insight V1901 軟件可以提供更準(zhǔn)確的威脅檢測(cè)和預(yù)警功能。而新的 Security QRadar SIEM 可以通過(guò)實(shí)時(shí)分析提供更準(zhǔn)確的威脅檢測(cè)以及優(yōu)先排序功能，從而極大提升了安全平臺(tái)的運(yùn)營(yíng)效率，提升了公司整體的IT安全管理與事件響應(yīng)能力。另一方面，在 Resilient 的幫助下，公司內(nèi)的所有利益相關(guān)者均可訪問(wèn)運(yùn)營(yíng)解決方案，使得整個(gè)公司中的不同又關(guān)聯(lián)的部門(mén)可以參與并了解整個(gè)安全的情況，增強(qiáng)了企業(yè)內(nèi)的安全協(xié)作情況。

而對(duì)于另一家位于英國(guó)的大型全球銀行，IBM 幫助他們整合了自身的 SOC 資源。原本該銀行有 12 個(gè)孤立的 SOC，因此在面對(duì)威脅的時(shí)候，存在著情報(bào)分散、脫節(jié)，同時(shí)又只有支離破碎的可視性等問(wèn)題。另一方面，SOC 每周只有五天運(yùn)作，每天只運(yùn)作 8 小時(shí)，使得企業(yè)存在長(zhǎng)時(shí)間的安全真空狀態(tài)。

IBM 在幫助該銀行制定了端到端的 SOC 轉(zhuǎn)型路線圖，并在其中的一個(gè) SOC 中投入了 IBM Security QRadar SIEM 軟件對(duì)銀行面臨的威脅進(jìn)行優(yōu)先級(jí)排序，并進(jìn)行檢測(cè)。在這個(gè)基礎(chǔ)上，銀行將 QRadar 軟件推廣到其余的 11 個(gè) SOC，消除了 SOC 的孤立問(wèn)題，并集成到了全天 24 小時(shí)的連貫系統(tǒng)中。最后，銀行部署了 Resilient 平臺(tái)，做到了自動(dòng)執(zhí)行 SOC 工作流程和事件響應(yīng)的過(guò)程。

通過(guò)將 12 個(gè)孤立的 SOC 集成，該銀行終于能通過(guò)單一的界面獲得覆蓋全行的可視性，更快速、高效地檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅，降低事件影響。另一方面，在引入 SOAR 的自動(dòng)化能力后，SOC 的運(yùn)作時(shí)間不再局限于 5*8 的范圍，節(jié)省了成本的同時(shí)，也大大減少了安全真空期。

從這兩個(gè)案例中，我們可以發(fā)現(xiàn)：越是龐大的企業(yè)越需要 SOAR 來(lái)輔助安全運(yùn)營(yíng)。SOAR 在實(shí)際的 IT 環(huán)境中能將大量的安全能力，包括相關(guān)部門(mén)進(jìn)行整合，從而進(jìn)行協(xié)作；對(duì)于安全能力多而散的大型企業(yè)，以及對(duì)安全事件響應(yīng)要求極高的企業(yè)，SOAR 都有極高的安全戰(zhàn)略價(jià)值。

安全牛評(píng)

SOAR 的概念看似很美好，但在實(shí)際落地上卻有相當(dāng)?shù)碾y度。SOAR 的價(jià)值不只是在于自動(dòng)化的安全能力，不同團(tuán)隊(duì)之間的聯(lián)動(dòng)也至關(guān)重要。在各種設(shè)備進(jìn)行聯(lián)動(dòng)的基礎(chǔ)上，企業(yè)人員是否也能做到協(xié)同聯(lián)動(dòng)？企業(yè)不同角色之間是否知道自己的安全職責(zé)？安全事件發(fā)生時(shí)，不同人員該如何配合進(jìn)行響應(yīng)？一個(gè)優(yōu)秀的 SOAR 系統(tǒng)是將人和機(jī)器資源進(jìn)行整合，系統(tǒng)和人都能知道在不同的安全情況下該如何行動(dòng)，從而快速響應(yīng)、處理威脅，減少損失。