在BCS大會的嘶吼夜話欄目中暢聊SOAR如何改變安全運營現狀

2020年BCS北京網絡安全大會已經結束。在8月15日晚間的《嘶吼夜話》欄目中，筆者有幸做爲國內獨立SOAR初創公司表明參加了當晚的一檔直播討論，題爲《SOAR如何改變安全運營現狀》。一個小時的時間很快就過去了，筆者也將自家的SOAR發佈一年多以來實踐的感悟跟你們進行了分享。現將直播時交流的主要議題和個人主要觀點摘錄以下，歡迎你們指正。

一、 SOAR是基於什麼需求下產生的，SOAR的發展脈絡、市場前景如何。

筆者觀點：SOAR的產生是實戰化安全運營的必然要求。隨着熱門愈來愈注重安全運營，尤爲是但願真正可以落地運營，提高對抗的能力和效果，安全運營團隊（尤爲是大型的）基本都面臨5個挑戰：

（1）人少事多：團隊人員少，但事情多，壓力大，工做負荷高，重保期間更是不堪重負，沒法保持持續的工做強度和能力。而稍有鬆懈，就可能在對抗中前功盡棄。

（2）告警疲勞：須要處理的告警太多，儘管部署了各類「精準」的檢測設備，但須要處置的告警依然不少，處置的過程也很繁瑣。

（3）響應太慢：千辛萬苦定位了問題，遏制、阻斷和恢復的處置響應過程十分複雜，須要在不一樣的安全工具和系統之間來回切換，審批也不夠及時，流程也不清晰。

（4）知識流失：安全運營、響應處置的過程主要靠經驗，而有經驗的運維人員的操做過程都在他們的腦子裏，紙面化的操做規程操做性不強，各類經驗和處置的過程缺少總結積累和固化，運營知識隨着人員的流動而流失。

（5）缺少協同：這條是對前面4條的總結，本質上就是由於人與人、人與工具、工具與工具之間缺少有效的協同聯動，安全運營工做基本都是碎片化的，我的英雄主義色彩的。

從Gartner2015年發明SOAR這個詞以來，在2017年進行了從新定義，後來也正不斷修訂其定義。SOAR是一個快速演變的市場，也是一個受到安全業界普遍關注的市場和技術，在2020年的Gartner炒做曲線中位於炒做的高峯階段，足見其熱門程度。但SOAR目前還處於早期，在國內尤爲如此。

Gartner將SOAR看作是SOA（安全編排與自動化）、SIRP（安全事件響應平臺）和TIP（威脅情報平臺）三者的融合性解決方案。筆者認爲目前國內SOAR主要有兩種形態：（1）跟SOC（安管）平臺整合到一塊兒，做爲SOC平臺的一個模塊。這時候SOAR功能較爲簡單，更多爲了彌補SOC平臺的能力。（2）獨立的SOAR產品，可以跟各類第三方SOC平臺或其它數據源對接，功能相對完備，更可能是爲了彌補用戶安全防護體系中響應環節的缺失，是站在安全體系的視角來看SOAR，而不是某個產品的組成部分。

此外，目前國內SOAR主要是包括SOA和SIRP兩個部分，TIP通常都是經過外接獨立TIP系統的方式來實現。

二、 安全編排與自動化塑造出了全新的安全響應，可否具體聊一聊SOAR場景下的安全響應工做與傳統方式有何區別。

筆者觀點：簡單來講，在上SOAR以前，安全響應的過程是人要頻繁的跟各類安全工具/平臺/設備打交道，不斷登陸各類設備，經過UI界面執行各類操做，反覆複製粘貼各類信息，耗時費力，還容易出錯。而上了SOAR以後，安全響應人員只要跟SOAR平臺打交道便可，簡單的操做一鍵所有執行到位，各種設備的操做切換工做都由SOAR代勞。複雜的操做，人執行起來也很輕鬆，不用登陸各類設備UI，只須要在SOAR平臺操做便可，省時省力，還不容易出錯。人能夠將本身的精力聚焦到響應決策上，而不是響應所需的信息收集和響應動做執行上，也不用瞭解各類不一樣的安全工具/產品之間的操做差別。

三、 安全響應存在大量的重複和突發性工做，SOAR，或者說編排和自動化，是如何應對複雜、多變的安全響應環境的。

筆者觀點：SOAR的核心思想是編排，正是經過這個編排機制，將各類各樣的安全功能經過應用封裝變成了對用戶的安全體系而言有價值的安全能力；再經過編排將這些安全能力、以及人和流程有機的整合到一塊兒，以反映安全運營的流程和規程。如此，任何複雜的安全設備及其原生的功能都被功能化、能力化、服務化了，經過編排組合到一塊兒去達成安全目標，並具有極強的適應性，以應對複雜多變的安全態勢。

此外，自動化在SOAR中不是核心，而是安全編排的實現手段。自動化頗有價值，很重要，但不是必須的，其實也不是萬能的。與其期待安全運營的自動化，不如考慮一個手自一體的SOAR平臺，即有人蔘與的、人在迴路之上的自動化閉環。

四、 衆所周知，網絡安全的核心是「人」的對抗，而SOAR劇本化運做的特色，是否是意味着只能解決程式化的安全事件，後期是否存在與AI進一步結合，實現智能進化的空間，以及未來是否有但願將安全應急響應工做推向徹底的自動化。

筆者觀點：的確，在初級階段，SOAR首先用於解決程式化、固化、重複性的操做過程的編排與自動化，減小人爲錯誤，下降人的操做強度。接下來，SOAR能夠應用AI和ML技術，去收集人的各類操做行爲和過程信息，給人類運營人員提供操做上的推薦和建議，或者自動產生劇本。但這些推薦和建議，以及自動產生的劇本都仍是須要一我的類確認的環節。能夠說，在可見的將來，徹底自動化是不現實的，人機結合是最恰當的選擇。

五、針對當前國內的實際，目前在SOAR實際落地中存在哪些技術難點，以及SOAR做爲一種相對新興的安全概念，推廣與普及過程當中有哪些阻礙。

筆者觀點：目前在SOAR落地這塊，主要存在這些問題：

（1）應用開發的問題。咱們說將來全部設備和系統除了提供GUI人類交互界面，必定都會提供API機器交互界面，系統和應用可編程是大勢所趨。但在當下，不少安全設備、工具和系統的API都不完善，使得將這些功能封裝成應用的過程存在困難。而應用封裝不作好，後續的編排和自動化就難以落地。

（2）在應用編排層，也缺少標準，即各類安全能力的操做原語沒有統一的規範，OpenC2，SCAP試圖作這方面的工做，但都還很初級。不過，這個問題到不影響某個SOAR平臺的實現，影響的更可能是不一樣SOAR產品之間的互操做性。對於用戶而言，若是有這樣的規範，則能夠進一步將自身的安全體系運行過程的編排與具體廠商的平臺解耦。

（3）在實際部署和實施SOAR的時候，部署平臺只是其中一部分工做，還要花不少精力放到流程梳理、劇本編寫的過程當中。而這本質上不是SOAR自身的問題，更可能是安全運營領域知識和經驗的事兒。

六、對將來SOAR的發展趨勢有什麼展望？

筆者觀點：SOAR將來可期。如今人們對於SOAR的價值和意義都毋庸置疑，你們討論的重點是如何在中國落地，落地的路徑是什麼？咱們分析，中國的狀況跟美國的狀況差別較大，SOAR做爲通常而言屬於中高階運營成熟度條件下的生產力工具，如何在中國實際安全運營環境下落地，須要有特別的考量，須要廠商、客戶一塊兒努力。用戶必定要認識到，安全編排與自動化是一種能力，是自身應該具有的安全能力，是買不來的，能買到的是平臺和工具而已。

最後，附上當時直播的錄像連接（https://bcs.qianxin.com/2020/live/index?meeting_id=125），供你們參看。

【參考】

BCS2020大會——嘶吼夜話——SOAR如何改變安全運營現狀

安全編排自動化與響應（SOAR）技術解析【51CTO版】