信息化觀察網(wǎng)

SOAR 的產(chǎn)生背景

隨著網(wǎng)絡(luò)安全攻防對抗的日趨激烈，網(wǎng)絡(luò)安全單純指望防范和阻止的策略已經(jīng)失效，必須更加注重檢測與響應(yīng)。企業(yè)和組織要在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集阻止、檢測、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。

正是在這樣的背景下，在國際上，檢測和響應(yīng)類產(chǎn)品受到了極大的關(guān)注。放眼國內(nèi)，更多的注意力集中到了新型檢測產(chǎn)品，尤其是未知威脅檢測領(lǐng)域。借助這些產(chǎn)品和技術(shù)，用戶獲得了更低的 MTTD（平均檢測時間），能夠更快更準(zhǔn)確地檢測出攻擊和入侵。但是，這些產(chǎn)品和技術(shù)大都沒有幫助用戶降低 MTTR（平均響應(yīng)時間）。事實上，對于用戶而言，更快地檢測出問題僅僅是第一步，如何快速地對問題進(jìn)行響應(yīng)更加重要。而在提升安全響應(yīng)效率的時候，不能僅僅從單點（譬如單純從端點或者網(wǎng)絡(luò)）去考慮，還需要從全網(wǎng)整體安全運維的角度去考慮，要將分散的檢測與響應(yīng)機(jī)制整合起來。而這，正是 SOAR 要解決的問題。

SOAR的演變和定義

SOAR 的全稱是 Security Orchestration, Automation and Response，意即安全編排自動化與響應(yīng)。該技術(shù)聚焦安全運維領(lǐng)域，重點解決（但不并不限于）安全響應(yīng)的問題，最早由 Gartner 在 2015 年提出。當(dāng)時，Gartner 將 SOAR 定義為 Security Operations, Analytics, and Reporting（安全運維分析與報告）。隨著安全運維技術(shù)的快速發(fā)展與演變，到了 2017 年，Gartner 重新將 SOAR 定義為安全編排自動化與響應(yīng)，并將其看作是安全編排與自動化 (SOA， Security Orchestration and Automation)、安全事件響應(yīng)平臺 (SIRP, Security Incident Response Platform) 和威脅情報平臺 (TIP, Threat Intelligence Platform) 三種技術(shù)/工具的融合。Gartner 認(rèn)為，SOAR 技術(shù)仍然在快速演化，內(nèi)涵未來仍可能會變化，但其圍繞安全運維，聚焦安全響應(yīng)的目標(biāo)不會改變。

Gartner 對 SOAR 的最新描述性定義（摘自 Gartner 報告《Hype Cycle on Threat-Facing Technologies, 2018》) 是：SOAR 是一系列技術(shù)的合集，它能夠幫助企業(yè)和組織收集安全運維團(tuán)隊監(jiān)控到的各種信息（包括各種安全系統(tǒng)產(chǎn)生的告警），并對這些信息進(jìn)行事件分析和告警分診。然后在標(biāo)準(zhǔn)工作流程的指引下，利用人機(jī)結(jié)合的方式幫助安全運維人員定義、排序和驅(qū)動標(biāo)準(zhǔn)化的事件響應(yīng)活動。SOAR 工具使得企業(yè)和組織能夠?qū)κ录治雠c響應(yīng)流程進(jìn)行形式化的描述。

目前，SOAR 技術(shù)正處于青春期，位于炒作曲線的上升階段，尚未達(dá)到炒作的頂點。

SOAR的三大核心技術(shù)解析

就目前而言，SOAR 的三大核心技術(shù)能力分別是安全編排與自動化、安全事件響應(yīng)平臺、威脅情報平臺。

1. 安全編排與自動化：這是SOAR的核心能力和基本能力

安全編排與安全自動化是兩個不同的概念。其中，安全編排 (Orchestration) 是指將客戶不同的系統(tǒng)或者一個系統(tǒng)內(nèi)部不同組件的安全能力通過可編程接口 (API) 和人工檢查點，按照一定的邏輯關(guān)系組合到一起，用以完成某個特定安全操作的過程。譬如用戶針對一封收到的可疑郵件進(jìn)行深入檢測與響應(yīng)（操作）的過程可以分解為根據(jù)拆解出來的發(fā)件人、URL 鏈接和 IP 等信息查詢威脅情報系統(tǒng)，將附件送入沙箱系統(tǒng)進(jìn)行分析，并根據(jù)情報系統(tǒng)和沙箱系統(tǒng)返回的信息進(jìn)一步?jīng)Q定是否要通知郵件系統(tǒng)刪除該郵件或者附件，是否要通過 EDR 獲取收件人終端上的進(jìn)一步信息做分析，等等。上述這個可疑郵件分析的過程就是一個將郵件系統(tǒng)、威脅情報系統(tǒng)、沙箱系統(tǒng)、EDR 等等系統(tǒng)通過一定的邏輯編排到一起的實例。

安全自動化 (Automation) 在這里特指自動化的編排過程，也就是一種特殊的編排。如果編排的過程完全都是依賴各個相關(guān)系統(tǒng)的 API 實現(xiàn)的，那么它就是可以自動化執(zhí)行的。與自動化編排對應(yīng)的，還有人工編排和部分自動化（混合）編排。

不論是自動化的編排，還是人工的編排，都可以通過劇本 (playbook) 來進(jìn)行表述。而支撐劇本執(zhí)行的引擎通常是工作流引擎。為了方便管理人員維護(hù)劇本，SOAR 通常還提供一套可視化的劇本編輯器。

劇本是面向編排管理員的，讓其聚焦于編排安全操作的邏輯本身，而隱藏了具體連接各個系統(tǒng)的編程接口及其指令實現(xiàn)。SOAR 通常通過應(yīng)用 (App) 和動作 (Action) 機(jī)制來實現(xiàn)可編排指令與實際系統(tǒng)的對接。應(yīng)用和動作的實現(xiàn)是面向編排指令開發(fā)者的。

2. 安全事件響應(yīng)平臺：這是SOAR的關(guān)鍵功能，但也可以獨立于SOAR存在

安全事件 (Incident) 響應(yīng)平臺在 SOAR 出現(xiàn)之前就一直存在，顧名思義就是一個針對 Incident 進(jìn)行響應(yīng)和處置的平臺。但 SOAR 出現(xiàn)后，安全事件響應(yīng)與安全編排與自動化的結(jié)合使得響應(yīng)的能力獲得了極大的提升。通常，安全事件響應(yīng)包括告警管理、工單管理、案件 (Case) 管理等功能。

告警管理的核心不僅是對告警安全事件的收集、展示和響應(yīng)，更強(qiáng)調(diào)告警分診和告警調(diào)查。只有通過告警分診和告警調(diào)查才能提升告警的質(zhì)量，減少告警的數(shù)量。

工單管理適用于中大型的安全運維團(tuán)隊協(xié)同化、流程化地進(jìn)行告警處置與響應(yīng)，并且確保響應(yīng)過程可記錄、可度量、可考核。

案件管理是現(xiàn)代安全事件響應(yīng)管理的核心能力。案件管理幫助用戶對一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置，并不斷積累該案件相關(guān)的痕跡物證 (IOC) 和攻擊者的戰(zhàn)技過程指標(biāo)信息 (TTP)。多個案件并行執(zhí)行，從而持續(xù)化地對一系列安全事件進(jìn)行追蹤處置。

3. 威脅情報平臺：這是SOAR的重要功能，但也可以獨立于SOAR存在

威脅情報平臺 (TIP) 是 Gartner 在 2014 年定義的一個細(xì)分市場，通多對多源威脅情報的收集、關(guān)聯(lián)、分類、共享和集成，以及與其它系統(tǒng)的整合，協(xié)助用戶實現(xiàn)攻擊的阻斷、檢測和響應(yīng)。威脅情報主要是以服務(wù)而非平臺的形式存在。目前 TIP 市場規(guī)模不大，廠商不多，有的是獨立存在，有的依附于威脅情報服務(wù)，還有的跟安全響應(yīng)結(jié)合，融合到 SOAR 里面。

通過上面的分析，我們可以發(fā)現(xiàn)，SOAR 作為安全運維的綜合響應(yīng)平臺，具有極強(qiáng)的支撐作用。Gartner 認(rèn)為，現(xiàn)代 SOC (Modern Security Operations Center） 將至少包括現(xiàn)代SIEM （Modern SIEM，即集成了 UEBA 的 SIEM） 和 SOAR。也就是說，SOAR 將作為現(xiàn)代 SOC 中安全運維與響應(yīng)的支撐平臺。Gartner 估計，到 2021 年，70% 的 SOC 將包括 SOAR 能力。這其中，既可能是 SIEM 附帶的 SOAR，也可能是獨立 SOAR 平臺。

通過在 SOC 中實現(xiàn) SOAR，不僅可以完善 SOC 的安全響應(yīng)的能力，尤其是編排和自動化能力，以及響應(yīng)管理能力，并且能在整體上提升 SOC 的效能，包括安全事件調(diào)查分析（含MTTD）的速度、安全響應(yīng) （MTTR） 的速度、將分散的安全系統(tǒng)整合的能力，以及單個安全運維人員的生產(chǎn)率。

SOAR技術(shù)落地實踐

SOAR 的價值和作用已經(jīng)相當(dāng)明顯。當(dāng)前，國際上已經(jīng)出現(xiàn)了多家 SOAR 專業(yè)廠商，而不少 SIEM 國際廠商也都推出（收購）了 SOAR 產(chǎn)品和功能。

目前國際上典型的專業(yè) SOAR 廠商基本都是創(chuàng)業(yè)公司，主要包括：CyberSponse、DFLabs、Resolve Systems、Respond Software、Siemplify、Swimlane等。而主要的安全大廠尤其是 SIEM 大廠則紛紛收購 SOAR 公司，并對其進(jìn)行整合，譬如：IBM 收購 Resilient 與 QRadar 整合，Splunk 收購 Phantom，rapid7 收購 komand，微軟收購 Hexadite，F(xiàn)ireEye 收購 Invotas ，Palo Alto Networks 收購 Demisto，而 SIEM 領(lǐng)先廠商如 LogRhythm、Exabeam、Securonix則紛紛推出了集成版的輕量級的安全響應(yīng)編排自動化組件。

反觀國內(nèi)，尚沒有出現(xiàn)專業(yè)的 SOAR 廠商，也沒有安全管理平臺廠商正式發(fā)布 SOAR 產(chǎn)品或功能。究其原因，SOAR 能力的獲得并非一朝一夕之功，需要深厚的安全運維技術(shù)積累。

正是在這樣的背景下，作為國內(nèi)具備十幾年安全管理與運維技術(shù)積累和實踐經(jīng)驗的盛華安創(chuàng)業(yè)技術(shù)團(tuán)隊，從 4 年前就注意到了 SOAR 技術(shù)，經(jīng)過長期的調(diào)研，以及近 1 年的潛心研發(fā)，于 2019 年 7 月底國內(nèi)率先發(fā)布了 Cybersky-SOAR。

盛華安的 Cybersky-SOAR 主要包括告警管理、案件管理、工單管理、安全編排與自動化、威脅情報應(yīng)用五大功能。

下面通過對 Cybersky-SOAR 的核心功能描述，進(jìn)一步闡釋 SOAR 的技術(shù)特點。

下圖不失一般性地展示了安全告警、案件管理、工單管理和安全編排自動化的功能組成及其相互關(guān)系：

告警管理

CyberSky-SOAR 告警管理包括告警分診、告警調(diào)查、告警響應(yīng)和告警庫四個功能。其中最核心的是告警分診和告警調(diào)查，這也是區(qū)別于傳統(tǒng) SIEM/SOC 平臺的告警管理功能的關(guān)鍵之處。告警分診一方面能夠自動化地聚合告警信息，減少管理員需要查看的告警數(shù)量，同時還能自動地計算告警的可信度和處置優(yōu)先級，幫助管理員聚焦關(guān)鍵的告警。告警調(diào)查是指針對告警信息的補充調(diào)查分析，剔除虛警，并將模糊的、低質(zhì)量的告警變成高質(zhì)量、有價值的告警的過程。在進(jìn)行告警調(diào)查的時候，運維管理員可以調(diào)用安全編排與自動化的劇本或者動作，對告警進(jìn)行增強(qiáng)，并最終通過告警透視獲得對告警信息全面的可見性，盡可能清晰、精準(zhǔn)地將這個告警的相關(guān)信息呈現(xiàn)出來，方便管理員進(jìn)行研判。

案件管理

CyberSky-SOAR 案件管理幫助用戶對一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置。通過案件的流程處理功能，可以為不同性質(zhì)的案件指派不同的案件處理流程，并監(jiān)督執(zhí)行；借助案件的工件 (Artifacts) 管理功能，可以不斷積累該案件相關(guān)的痕跡物證 (IOC) 和攻擊者的戰(zhàn)技過程指標(biāo)信息 (TTP)；而通過編排調(diào)查與響應(yīng)功能，可以對案件中的任何工件執(zhí)行劇本或者動作，拓線追蹤，深挖疑點、豐富案件信息。

下圖展示了 CyberSky-SOAR 的某個案件管理的界面：

工單管理

CyberSky-SOAR 具備標(biāo)準(zhǔn)的工單管理功能，支持用于突發(fā)性告警響應(yīng)的一次性工單和日常（重復(fù)性）工單。工單流轉(zhuǎn)和處理過程全程記錄。工單管理技術(shù)比較成熟，這里不再贅述。

安全編排與自動化

安全編排與自動化是 CyberSky-SOAR 的核心功能，實現(xiàn)了劇本的編輯維護(hù)，以及應(yīng)用和動作的管理。安全編排與自動化的核心是劇本庫和應(yīng)用庫（動作庫）。這些庫可以被安全分析、告警管理和案件管理等功能隨時調(diào)用。通過該功能，真正實現(xiàn)了 SOAR 將不同的系統(tǒng)協(xié)同聯(lián)動起來的目標(biāo)，就像一個交響樂對的指揮。

下圖不失一般性地展示了劇本、應(yīng)用、動作和被調(diào)用設(shè)備/系統(tǒng)之間的關(guān)系，以及它們被使用的方式。

下圖展示了 CyberSky-SOAR 的一個典型的劇本可視化編輯界面：

威脅情報應(yīng)用

威脅情報應(yīng)用功能的核心將外部的威脅情報與用戶自身網(wǎng)絡(luò)中收集到的告警信息進(jìn)行情報比對分析和印證。

威脅情報應(yīng)用既可以用在安全分析的時候，也可以用在告警調(diào)查、案件管理的時候。

下圖展示了在案件管理中調(diào)用外部威脅情報系統(tǒng) (VirusTotal) 動作的界面：

Cybersky-SOAR 較為完整地實現(xiàn)了 Gartner 對 SOAR 定義的核心能力，因而是真正意義上的 SOAR 產(chǎn)品，填補了國內(nèi)產(chǎn)品空白。同時，盛華安 Cybersky-SOAR 的發(fā)布，也踐行了公司成立之初提出的集數(shù)據(jù)攝取、數(shù)據(jù)存儲、數(shù)據(jù)治理、監(jiān)測分析、指揮調(diào)度與一體的閉環(huán)態(tài)勢感知與管理技術(shù)架構(gòu)的理念。