信息化觀察網(wǎng)

SOAR 是 2019 年安全市場(chǎng)上最火熱的詞匯之一。特別是下半年以來，各大安全媒體以及各個(gè)廠商都開始頻繁地發(fā)表 SOAR 概念相關(guān)的文章。在 2019 年 12 月舉辦的第四屆的北向峰會(huì)上，SOAR 也被參會(huì)者投票評(píng)選為關(guān)注度排名第二的威脅與安全舉措，僅次于數(shù)據(jù)安全和治理。

SOAR 為什么突然這么火熱？很大程度上是因?yàn)?2019 年的 HW 運(yùn)動(dòng)。在為期接近一個(gè)月的 HW 工作中，所有參與的甲方和乙方都為之殫精竭慮、身心俱疲。再加上未來 HW 實(shí)戰(zhàn)化、常態(tài)化的發(fā)展方向，每個(gè)參與方都有深深的焦慮感。如何緩解這種焦慮？除了做扎實(shí)安全治理的每一項(xiàng)基本功以外，是否有什么新思路、新技術(shù)的發(fā)展能夠幫助到大家？SOAR 正是在這個(gè)方向上被寄予了厚望。

縱觀國際市場(chǎng)，SOAR 也是近幾年發(fā)展勢(shì)頭非常迅猛的一個(gè)細(xì)分安全方向，Startup 公司如雨后春筍，其中的佼佼者 Phantom Cyber 以黑馬姿態(tài)拿到了 2016 年 RSA 創(chuàng)新沙盒大賽第一名，并于 2018 年被 Splunk 以 3.5 億美元收購。不只是 Splunk，各大安全廠商從 4 年前就開始爭(zhēng)相布局 SOAR 技術(shù)，這一點(diǎn)從近幾年的 SOAR 并購案例可見一斑：

那么，到底什么是 SOAR？2015 年 Gartner 首次提出了 SOAR 的概念，最初的定義是 Security Operations, Analytics and Reporting，即安全運(yùn)維分析與報(bào)告。在 2017 年 Gartner 對(duì) SOAR 概念做了重新定義：Security Orchestration, Automation and Response, 即安全編排、自動(dòng)化與響應(yīng)，這才是現(xiàn)在廣泛關(guān)注的 SOAR 的概念。

Gartner 對(duì) SOAR 技術(shù)的描述是：

SOAR refers to technologies that enable organizations to collect inputs monitored by the security operations team. For example, alerts from SIEM and other security technologies, where incident analysis and triage can be performed, leverage a combination of human and machine power to help define,prioritize and drive standardized incident response activities according to a standard workflow. SOAR tools allow an organization to define incident analysis and response procedures in a digital workflow format.

—Gartner: Emerging Technology Analysis: SOAR Solutions, 2018

翻譯為：SOAR 指的是一種技術(shù)，它使企業(yè)收集安全運(yùn)營團(tuán)隊(duì)所關(guān)注的輸入，比如說，源自 SIEM 和其他安全技術(shù)的告警。并且此安全技術(shù)可進(jìn)行事件分析與分類，綜合運(yùn)用人類分析師和計(jì)算機(jī)的處理能力來幫助定義、排序和驅(qū)動(dòng)按標(biāo)準(zhǔn)工作流程執(zhí)行的安全事件響應(yīng)活動(dòng)。企業(yè)可使用 SOAR 工具來數(shù)字化的定義事件分析與響應(yīng)工作流程。

這段描述讀起來非常拗口，理解起來也頗為費(fèi)力。瀚思科技基于以往大量的以 SIEM、態(tài)勢(shì)感知項(xiàng)目為基礎(chǔ)的安全運(yùn)營實(shí)踐經(jīng)驗(yàn)，總結(jié)出來我們所主張的 SOAR 的核心理念：

這張圖以文字解讀起來是：

使用編排技術(shù)將企業(yè)的安全運(yùn)營流程數(shù)字化管理；

編排的元素包含了人工操作與自動(dòng)化執(zhí)行兩部分，編排的結(jié)果是一系列的Playbook（預(yù)案）。Playbook執(zhí)行中可以使用類似工單的技術(shù)驅(qū)動(dòng)責(zé)任人與狀態(tài)的流轉(zhuǎn)，執(zhí)行結(jié)果可以保存為知識(shí)庫、案例庫；

其中的人工操作包括但不限于：安全事件的鑒別、調(diào)查取證、響應(yīng)處置、判斷決策；

其中的自動(dòng)化執(zhí)行包括但不限于：通過與外部設(shè)備/系統(tǒng)的集成，自動(dòng)化完成安全事件上下文豐富化、持續(xù)追蹤、聯(lián)動(dòng)處置。

在講了 SOAR 的本質(zhì)，SOAR 是什么之后，我們還要注意 SOAR 不是什么。很多時(shí)候在談到 SOAR 時(shí)，我們都把目光投向了可視化編排技術(shù)。但要注意的是，編排不是 SOAR 的目的，是手段。SOAR 的目的，是服務(wù)于安全運(yùn)營流程。第二，SOAR 不是代替人，他是用來幫助人提升效率，更快更好的，更標(biāo)準(zhǔn)化更自動(dòng)化的執(zhí)行處置與決策流程。

所以，我們強(qiáng)調(diào)了多次，SOAR 是服務(wù)于安全運(yùn)營的。那么什么是安全運(yùn)營流程？安全運(yùn)營流程為什么需要 SOAR？

Gartner 用 OODA 模型，來描繪一個(gè)典型的安全運(yùn)營流程。OODA 即 Observe(觀察)、Orient(調(diào)整)、Decide(決策)、Act(行動(dòng))。

觀察：即通過各種檢測(cè)、分析工具，比如 SIEM 類工具，找到威脅線索，如告警。

調(diào)整：即對(duì)產(chǎn)生的告警的內(nèi)容做調(diào)查、豐富化。比如查找外網(wǎng)域名的威脅情報(bào)，查找此 IP 的歷史行為協(xié)助研判等等。

決策：即判定是否需要對(duì)此告警采取行動(dòng)，比如是否需要封禁，是否影響業(yè)務(wù)，是否需要進(jìn)一步觀察。

行動(dòng)：即執(zhí)行確定的安全策略，并驗(yàn)證。每一步都對(duì)下一步提供了指導(dǎo)，周而復(fù)始，構(gòu)成了一個(gè)良性促進(jìn)的進(jìn)化循環(huán)，不斷優(yōu)化企業(yè)的安全運(yùn)營流程以應(yīng)對(duì)不斷變化的安全威脅。

OODA 環(huán)看起來邏輯清晰，易于操作。但事實(shí)上， OODA 環(huán)里的豐富化、調(diào)查取證、驗(yàn)證、執(zhí)行安全策略變更等等，都是耗時(shí)耗力的工作。加上安全設(shè)備一直以來的誤報(bào)問題產(chǎn)生的噪音，以及安全人員工作負(fù)荷重，資深從業(yè)人員短缺等原因，難以真正有效的推進(jìn) OODA 循環(huán)。更不用提在 HW 時(shí)段高強(qiáng)度的工作壓力下，如何能夠有條不紊的保持一貫的處置流程來處理每一個(gè)安全線索。

這不是我們獨(dú)有的問題，這是全球安全界共同面對(duì)的問題。SOAR 正是在這個(gè)背景下被提出，并被寄予厚望。SOAR 的核心，就是將安全流程或預(yù)案，即 OODA 循環(huán)的每一個(gè)實(shí)例，比如蠕蟲爆發(fā)處理流程、挖礦病毒告警處理流程、疑似釣魚郵件處理流程等等，數(shù)字化管理起來形成 Playbook。用自動(dòng)化完成其中所有可能自動(dòng)化的動(dòng)作，無法自動(dòng)的仍然交由人來處理，通過可視化編排工具將人、技術(shù)和流程有機(jī)的結(jié)合起來，形成標(biāo)準(zhǔn)統(tǒng)一的、可重復(fù)的、更高效的安全運(yùn)營流程。

于此之上，SOAR所能帶來的價(jià)值有：

1、縮短響應(yīng)時(shí)間

通過自動(dòng)化技術(shù)，盡可能多的自動(dòng)完成一個(gè)安全事件處置流程中相關(guān)步驟，從而縮短響應(yīng)時(shí)間即 MTTR。

2、釋放人力

讓安全專家從繁重的重復(fù)勞動(dòng)中釋放出來，將時(shí)間放在更有價(jià)值的安全分析、威脅獵捕、流程建立等工作上。

3、安全運(yùn)營流程標(biāo)準(zhǔn)化

將公司的安全運(yùn)營流程數(shù)字化管理起來，每一次安全事件的對(duì)應(yīng)處置過程都在統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一步驟下執(zhí)行，有跡可循。避免人員能力的差距導(dǎo)致的處置實(shí)際效果不可控。

4、避免能力斷層

將安全專家的經(jīng)驗(yàn)固化成處置預(yù)案Playbook，讓不同的人都可以遵循同樣的方法來完成特定安全事件的處置流程，避免因?yàn)閭€(gè)人的離職導(dǎo)致某個(gè)領(lǐng)域的安全能力缺失。

5、運(yùn)營流程指標(biāo)可度量

因?yàn)檫\(yùn)營流程都通過 Playbook 數(shù)字化管理且每一次的執(zhí)行過程都記錄在案，因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可評(píng)估、可度量、可追蹤。

6、安全運(yùn)營決策支撐

通過對(duì)公司的所有運(yùn)營流程數(shù)字化管理、數(shù)字化執(zhí)行、數(shù)字化KPI評(píng)估后，管理者可以有效的評(píng)估什么流程基本無用，什么流程執(zhí)行效率不高，什么流程發(fā)揮了最大的作用，甚至什么安全設(shè)備在所有流程中被使用的價(jià)值最大。從而為以后的安全投資決策，安全團(tuán)隊(duì)建設(shè)決策提供有價(jià)值的數(shù)值化支撐。

如果說 SIEM/態(tài)勢(shì)感知將企業(yè)的整個(gè)安全棧以數(shù)據(jù)的方式完整集成起來，那么 SOAR 則是將企業(yè)的整個(gè)安全棧以流程與 API 的方式完整的集成了起來。

到這里，我們將 SOAR 的概念和價(jià)值做了解讀。在未來的一段時(shí)間，我們將通過多篇后續(xù)文章，將 SOAR 的技術(shù)、能力、案例以及落地分別加以介紹。