安全編排自動化與響應（SOAR）技術解析【51CTO版】

【前言】本文首發於安全牛，現修訂後發表於51CTO博客。這裏我從我目前創業所在的盛華安公司的視角對SOAR進行了剖析。

【摘要】繼新型安全檢測技術以後，如何藉助編排和自動化手段提高安全響應的效能成爲焦點，SOAR應運而生。什麼是SOAR？什麼是編排？具有什麼特色？包含哪些功能？本文對SOAR進行技術解析，並經過實例加以說明。

SOAR技術解析

隨着網絡安全攻|防對抗的日趨激烈，網絡安全單純期望防範和阻止的策略已經失效，必須更加註重檢測與響應。企業和組織要在網絡已經遭受攻|擊的假定前提下構建集阻止、檢測、響應和預防於一體的全新安全防禦體系。

正是在這樣的背景下，在國際上，檢測和響應類產品受到了極大的關注。放眼國內，更多的注意力集中到了新型檢測產品，尤爲是未知威脅檢測領域。藉助這些產品和技術，用戶得到了更低的MTTD（平均檢測時間），可以更快更準確地檢測出攻|擊和入|侵。可是，這些產品和技術大都沒有幫助用戶下降MTTR（平均響應時間）。事實上，對於用戶而言，更快地檢測出問題僅僅是第一步，如何快速地對問題進行響應更加劇要。而在提高安全響應效率的時候，不能僅僅從單點（譬如單純從端點或者網絡）去考慮，還須要從全網總體安全運維的角度去考慮，要將分散的檢測與響應機制整合起來。而這，正是SOAR要解決的問題。

SOAR，即安全編排自動化與響應。該技術聚焦安全運維領域，重點解決（但不併不限於）安全響應的問題，最先由Gartner在2015年提出。當時，Gartner將SOAR定義爲安全運維分析與報告。隨着安全運維技術的快速發展與演變，到了2017年，Gartner從新將SOAR定義爲安全編排自動化與響應，並將其看做是安全編排與自動化（SOA， Security Orchestration and Automation）、安全事件響應平臺（SIRP）和威脅情報平臺（TIP, Threat Intelligence Platform）三種技術/工具的融合。Gartner認爲，SOAR技術仍然在快速演化，內涵將來仍可能會變化，但其圍繞安全運維，聚焦安全響應的目標不會改變。

就目前而言，SOAR的三大核心技術能力分別是安全編排與自動化、安全事件響應平臺、威脅情報平臺。

l  安全編排與自動化：這是SOAR的核心能力和基本能力。

安全編排與安全自動化是兩個不一樣的概念。其中，安全編排（Orchestration）是指將客戶不一樣的系統或者一個系統內部不一樣組件的安全能力經過可編程接口（API）和人工檢查點，按照必定的邏輯關係組合到一塊兒，用以完成某個特定安全操做的過程。譬如用戶針對一封收到的可疑郵件進行深刻檢測與響應（操做）的過程能夠分解爲根據拆解出來的發件人、URL連接和IP等信息查詢威脅情報系統，將附件送入沙箱系統進行分析，並根據情報系統和沙箱系統返回的信息進一步決定是否要通知郵件系統刪除該郵件或者附件，是否要經過EDR獲取收件人終端上的進一步信息作分析，等等。上述這個可疑郵件分析的過程就是一個將郵件系統、威脅情報系統、沙箱系統、EDR等等系統經過必定的邏輯編排到一塊兒的實例。

安全自動化（Automation）在這裏特指自動化的編排過程，也就是一種特殊的編排。若是編排的過程徹底都是依賴各個相關係統的API實現的，那麼它就是能夠自動化執行的。與自動化編排對應的，還有人工編排和部分自動化（混合）編排。

不管是自動化的編排，仍是人工的編排，均可以經過劇本（playbook）來進行表述。而支撐劇本執行的引擎一般是工做流引擎。爲了方便管理人員維護劇本，SOAR一般還提供一套可視化的劇本編輯器。

劇本是面向編排管理員的，讓其聚焦於編排安全操做的邏輯自己，而隱藏了具體鏈接各個系統的編程接口及其指令實現。SOAR一般經過應用（App）和動做（Action）機制來實現可編排指令與實際系統的對接。應用和動做的實現是面向編排指令開發者的。

l  安全事件響應平臺：這是SOAR的關鍵功能，但也能夠獨立於SOAR存在。

安全事件（Incident）響應平臺在SOAR出現以前就一直存在，顧名思義就是一個針對Incident進行響應和處置的平臺。但SOAR出現後，安全事件響應與安全編排與自動化的結合使得響應的能力得到了極大的提高。一般，安全事件響應包括告警管理、工單管理、案件（Case）管理等功能。

告警管理的核心不只是對告警安全事件的收集、展現和響應，更強調告警分診和告警調查。只有經過告警分診和告警調查才能提高告警的質量，減小告警的數量。

工單管理適用於中大型的安全運維團隊協同化、流程化地進行告警處置與響應，而且確保響應過程可記錄、可度量、可考覈。

案件管理是現代安全事件響應管理的核心能力。案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置，並不斷積累該案件相關的痕跡物證（IOC）和攻|擊者的戰技過程指標信息（TTP）。多個案件並行執行，從而持續化地對一系列安全事件進行追蹤處置。

l  威脅情報平臺：這是SOAR的重要功能，但也能夠獨立於SOAR存在。

威脅情報平臺（TIP）是Gartner在2014年定義的一個細分市場，通多對多源威脅情報的收集、關聯、分類、共享和集成，以及與其它系統的整合，協助用戶實現攻|擊的阻斷、檢測和響應。威脅情報主要是以服務而非平臺的形式存在。目前TIP市場規模不大，廠商很少，有的是獨立存在，有的依附於威脅情報服務，還有的跟安全響應結合，融合到SOAR裏面。

經過上面的分析，咱們能夠發現，SOAR做爲安全運維的綜合響應平臺，具備極強的支撐做用。Gartner認爲，現代SOC（Modern Security Operations Center）將至少包括現代SIEM（Modern SIEM，即集成了UEBA的SIEM）和SOAR。也就是說，SOAR將做爲現代SOC中安全運維與響應的支撐平臺。Gartner估計，到2021年，70%的SOC將包括SOAR能力。這其中，既多是SIEM附帶的SOAR，也多是獨立SOAR平臺。

經過在SOC中實現SOAR，不只能夠完善SOC的安全響應的能力，尤爲是編排和自動化能力，以及響應管理能力，而且能在總體上提高SOC的效能，包括安全事件調查分析（含MTTD）的速度、安全響應（MTTR）的速度、將分散的安全系統整合的能力，以及單個安全運維人員的生產率。

盛華安國內發佈SOAR

SOAR的價值和做用已經至關明顯。當前，國際上已經出現了多家SOAR專業廠商，而很多SIEM國際廠商也都推出（收購）了SOAR產品和功能。反觀國內，尚沒有出現專業的SOAR廠商，也沒有安全管理平臺廠商正式發佈SOAR產品或功能。究其緣由，SOAR能力的得到並不是一朝一夕之功，須要深厚的安全運維技術積累。

正是在這樣的背景下，做爲國內具有十幾年安全管理與運維技術積累和實踐經驗的盛華安創業技術團隊，從4年前就注意到了SOAR技術，通過長期的調研，以及近1年的潛心研發，於2019年7月底國內發佈了SOAR功能（Cybersky-SOAR）！

盛華安這次國內發佈SOAR功能，符合國際技術發展大勢和國內客戶切實需求，推進了國內新一代安全管理平臺的發展，將國內安全管理平臺/SOC平臺/SIEM/安全態勢感知領域的技術水平帶上了一個新臺階，也再次印證了盛華安安全管理平臺團隊的強大實力。

盛華安SOAR主要包括告警管理、案件管理、工單管理、安全編排與自動化、威脅情報應用五大功能。

下圖展現了安全告警、案件管理、工單管理和安全編排自動化的功能組成及其相互關係：

l  告警管理

CyberSky-SOAR告警管理包括告警分診、告警調查、告警響應和告警庫四個功能。其中最核心的是告警分診和告警調查，這也是區別於傳統SIEM/SOC平臺的告警管理功能的關鍵之處。告警分診一方面可以自動化地聚合告警信息，減小管理員須要查看的告警數量，同時還能自動地計算告警的可信度和處置優先級，幫助管理員聚焦關鍵的告警。告警調查是指針對告警信息的補充調查分析，剔除虛警，並將模糊的、低質量的告警變成高質量、有價值的告警的過程。在進行告警調查的時候，運維管理員能夠調用安全編排與自動化的劇本或者動做，對告警進行加強，並最終經過告警透視得到對告警信息全面的可見性，儘量清晰、精準地將這個告警的相關信息呈現出來，方便管理員進行研判。

l  案件管理

CyberSky-SOAR案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置。經過案件的流程處理功能，能夠爲不一樣性質的案件指派不一樣的案件處理流程，並監督執行；藉助案件的工件（Artifacts）管理功能，能夠不斷積累該案件相關的痕跡物證（IOC）和攻|擊者的戰技過程指標信息（TTP）；而經過編排調查與響應功能，能夠對案件中的任何工件執行劇本或者動做，拓線追蹤，深挖疑點、豐富案件信息。

下圖展現了CyberSky-SOAR的某個案件管理的界面：

l  工單管理

CyberSky-SOAR具有標準的工單管理功能，支持用於突發性告警響應的一次性工單和平常（重複性）工單。工單流轉和處理過程全程記錄。

l  安全編排與自動化

安全編排與自動化是CyberSky-SOAR的核心功能，實現了劇本的編輯維護，以及應用和動做的管理。安全編排與自動化的核心是劇本庫和應用庫（動做庫）。這些庫能夠被安全分析、告警管理和案件管理等功能隨時調用。經過該功能，真正實現了SOAR將不一樣的系統協同聯動起來的目標，就像一個交響樂隊的指揮。

下圖展現了CyberSky-SOAR的一個劇本的可視化編輯界面：

l  威脅情報應用

威脅情報應用功能的核心將外部的威脅情報與用戶自身網絡中收集到的告警信息進行情報比對分析和印證。

威脅情報應用既能夠用在安全分析的時候，也能夠用在告警調查、案件管理的時候。

下圖展現了在案件管理中調用外部威脅情報系統（VirusTotal）動做的界面：

 

總之，盛華安SOAR較爲完整地實現了Gartner對SOAR定義的核心能力，於是是真正意義上的SOAR產品。同時，盛華安SOAR的發佈，也踐行了公司成立之初提出的集數據攝取、數據存儲、數據治理、監測分析、指揮調度與一體的閉環態勢感知與管理技術架構的理念。