安全編排自動化與響應 (SOAR) 技術解析
責編:gltian |2019-08-01 11:11:41作者:盛華安
SOAR 的產生背景
隨著網絡安全攻防對抗的日趨激烈,網絡安全單純指望防范和阻止的策略已經失效,必須更加注重檢測與響應。企業和組織要在網絡已經遭受攻擊的假定前提下構建集阻止、檢測、響應和預防于一體的全新安全防護體系。
正是在這樣的背景下,在國際上,檢測和響應類產品受到了極大的關注。放眼國內,更多的注意力集中到了新型檢測產品,尤其是未知威脅檢測領域。借助這些產品和技術,用戶獲得了更低的 MTTD(平均檢測時間),能夠更快更準確地檢測出攻擊和入侵。但是,這些產品和技術大都沒有幫助用戶降低 MTTR(平均響應時間)。事實上,對于用戶而言,更快地檢測出問題僅僅是第一步,如何快速地對問題進行響應更加重要。而在提升安全響應效率的時候,不能僅僅從單點(譬如單純從端點或者網絡)去考慮,還需要從全網整體安全運維的角度去考慮,要將分散的檢測與響應機制整合起來。而這,正是 SOAR 要解決的問題。
SOAR的演變和定義
SOAR 的全稱是 Security Orchestration, Automation and Response,意即安全編排自動化與響應。該技術聚焦安全運維領域,重點解決(但不并不限于)安全響應的問題,最早由 Gartner 在 2015 年提出。當時,Gartner 將 SOAR 定義為 Security Operations, Analytics, and Reporting(安全運維分析與報告)。隨著安全運維技術的快速發展與演變,到了 2017 年,Gartner 重新將 SOAR 定義為安全編排自動化與響應,并將其看作是安全編排與自動化 (SOA, Security Orchestration and Automation)、安全事件響應平臺 (SIRP, Security Incident Response Platform) 和威脅情報平臺 (TIP, Threat Intelligence Platform) 三種技術/工具的融合。Gartner 認為,SOAR 技術仍然在快速演化,內涵未來仍可能會變化,但其圍繞安全運維,聚焦安全響應的目標不會改變。
Gartner 對 SOAR 的最新描述性定義(摘自 Gartner 報告《Hype Cycle on Threat-Facing Technologies, 2018》) 是:SOAR 是一系列技術的合集,它能夠幫助企業和組織收集安全運維團隊監控到的各種信息(包括各種安全系統產生的告警),并對這些信息進行事件分析和告警分診。然后在標準工作流程的指引下,利用人機結合的方式幫助安全運維人員定義、排序和驅動標準化的事件響應活動。SOAR 工具使得企業和組織能夠對事件分析與響應流程進行形式化的描述。
目前,SOAR 技術正處于青春期,位于炒作曲線的上升階段,尚未達到炒作的頂點。
SOAR的三大核心技術解析
就目前而言,SOAR 的三大核心技術能力分別是安全編排與自動化、安全事件響應平臺、威脅情報平臺。
1. 安全編排與自動化:這是SOAR的核心能力和基本能力
安全編排與安全自動化是兩個不同的概念。其中,安全編排 (Orchestration) 是指將客戶不同的系統或者一個系統內部不同組件的安全能力通過可編程接口 (API) 和人工檢查點,按照一定的邏輯關系組合到一起,用以完成某個特定安全操作的過程。譬如用戶針對一封收到的可疑郵件進行深入檢測與響應(操作)的過程可以分解為根據拆解出來的發件人、URL 鏈接和 IP 等信息查詢威脅情報系統,將附件送入沙箱系統進行分析,并根據情報系統和沙箱系統返回的信息進一步決定是否要通知郵件系統刪除該郵件或者附件,是否要通過 EDR 獲取收件人終端上的進一步信息做分析,等等。上述這個可疑郵件分析的過程就是一個將郵件系統、威脅情報系統、沙箱系統、EDR 等等系統通過一定的邏輯編排到一起的實例。
安全自動化 (Automation) 在這里特指自動化的編排過程,也就是一種特殊的編排。如果編排的過程完全都是依賴各個相關系統的 API 實現的,那么它就是可以自動化執行的。與自動化編排對應的,還有人工編排和部分自動化(混合)編排。
不論是自動化的編排,還是人工的編排,都可以通過劇本 (playbook) 來進行表述。而支撐劇本執行的引擎通常是工作流引擎。為了方便管理人員維護劇本,SOAR 通常還提供一套可視化的劇本編輯器。
劇本是面向編排管理員的,讓其聚焦于編排安全操作的邏輯本身,而隱藏了具體連接各個系統的編程接口及其指令實現。SOAR 通常通過應用 (App) 和動作 (Action) 機制來實現可編排指令與實際系統的對接。應用和動作的實現是面向編排指令開發者的。
2. 安全事件響應平臺:這是SOAR的關鍵功能,但也可以獨立于SOAR存在
安全事件 (Incident) 響應平臺在 SOAR 出現之前就一直存在,顧名思義就是一個針對 Incident 進行響應和處置的平臺。但 SOAR 出現后,安全事件響應與安全編排與自動化的結合使得響應的能力獲得了極大的提升。通常,安全事件響應包括告警管理、工單管理、案件 (Case) 管理等功能。
告警管理的核心不僅是對告警安全事件的收集、展示和響應,更強調告警分診和告警調查。只有通過告警分診和告警調查才能提升告警的質量,減少告警的數量。
工單管理適用于中大型的安全運維團隊協同化、流程化地進行告警處置與響應,并且確保響應過程可記錄、可度量、可考核。
案件管理是現代安全事件響應管理的核心能力。案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置,并不斷積累該案件相關的痕跡物證 (IOC) 和攻擊者的戰技過程指標信息 (TTP)。多個案件并行執行,從而持續化地對一系列安全事件進行追蹤處置。
3. 威脅情報平臺:這是SOAR的重要功能,但也可以獨立于SOAR存在
威脅情報平臺 (TIP) 是 Gartner 在 2014 年定義的一個細分市場,通多對多源威脅情報的收集、關聯、分類、共享和集成,以及與其它系統的整合,協助用戶實現攻擊的阻斷、檢測和響應。威脅情報主要是以服務而非平臺的形式存在。目前 TIP 市場規模不大,廠商不多,有的是獨立存在,有的依附于威脅情報服務,還有的跟安全響應結合,融合到 SOAR 里面。
通過上面的分析,我們可以發現,SOAR 作為安全運維的綜合響應平臺,具有極強的支撐作用。Gartner 認為,現代 SOC (Modern Security Operations Center) 將至少包括現代SIEM (Modern SIEM,即集成了 UEBA 的 SIEM) 和 SOAR。也就是說,SOAR 將作為現代 SOC 中安全運維與響應的支撐平臺。Gartner 估計,到 2021 年,70% 的 SOC 將包括 SOAR 能力。這其中,既可能是 SIEM 附帶的 SOAR,也可能是獨立 SOAR 平臺。
通過在 SOC 中實現 SOAR,不僅可以完善 SOC 的安全響應的能力,尤其是編排和自動化能力,以及響應管理能力,并且能在整體上提升 SOC 的效能,包括安全事件調查分析(含MTTD)的速度、安全響應 (MTTR) 的速度、將分散的安全系統整合的能力,以及單個安全運維人員的生產率。
SOAR技術落地實踐
SOAR 的價值和作用已經相當明顯。當前,國際上已經出現了多家 SOAR 專業廠商,而不少 SIEM 國際廠商也都推出(收購)了 SOAR 產品和功能。
目前國際上典型的專業 SOAR 廠商基本都是創業公司,主要包括:CyberSponse、DFLabs、Resolve Systems、Respond Software、Siemplify、Swimlane等。而主要的安全大廠尤其是 SIEM 大廠則紛紛收購 SOAR 公司,并對其進行整合,譬如:IBM 收購 Resilient 與 QRadar 整合,Splunk 收購 Phantom,rapid7 收購 komand,微軟收購 Hexadite,FireEye 收購 Invotas ,Palo Alto Networks 收購 Demisto,而 SIEM 領先廠商如 LogRhythm、Exabeam、Securonix則紛紛推出了集成版的輕量級的安全響應編排自動化組件。
反觀國內,尚沒有出現專業的 SOAR 廠商,也沒有安全管理平臺廠商正式發布 SOAR 產品或功能。究其原因,SOAR 能力的獲得并非一朝一夕之功,需要深厚的安全運維技術積累。
正是在這樣的背景下,作為國內具備十幾年安全管理與運維技術積累和實踐經驗的盛華安創業技術團隊,從 4 年前就注意到了 SOAR 技術,經過長期的調研,以及近 1 年的潛心研發,于 2019 年 7 月底國內率先發布了 Cybersky-SOAR。
盛華安的 Cybersky-SOAR 主要包括告警管理、案件管理、工單管理、安全編排與自動化、威脅情報應用五大功能。
下面通過對 Cybersky-SOAR 的核心功能描述,進一步闡釋 SOAR 的技術特點。
下圖不失一般性地展示了安全告警、案件管理、工單管理和安全編排自動化的功能組成及其相互關系:
告警管理
CyberSky-SOAR 告警管理包括告警分診、告警調查、告警響應和告警庫四個功能。其中最核心的是告警分診和告警調查,這也是區別于傳統 SIEM/SOC 平臺的告警管理功能的關鍵之處。告警分診一方面能夠自動化地聚合告警信息,減少管理員需要查看的告警數量,同時還能自動地計算告警的可信度和處置優先級,幫助管理員聚焦關鍵的告警。告警調查是指針對告警信息的補充調查分析,剔除虛警,并將模糊的、低質量的告警變成高質量、有價值的告警的過程。在進行告警調查的時候,運維管理員可以調用安全編排與自動化的劇本或者動作,對告警進行增強,并最終通過告警透視獲得對告警信息全面的可見性,盡可能清晰、精準地將這個告警的相關信息呈現出來,方便管理員進行研判。
案件管理
CyberSky-SOAR 案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置。通過案件的流程處理功能,可以為不同性質的案件指派不同的案件處理流程,并監督執行;借助案件的工件 (Artifacts) 管理功能,可以不斷積累該案件相關的痕跡物證 (IOC) 和攻擊者的戰技過程指標信息 (TTP);而通過編排調查與響應功能,可以對案件中的任何工件執行劇本或者動作,拓線追蹤,深挖疑點、豐富案件信息。
下圖展示了 CyberSky-SOAR 的某個案件管理的界面:
工單管理
CyberSky-SOAR 具備標準的工單管理功能,支持用于突發性告警響應的一次性工單和日常(重復性)工單。工單流轉和處理過程全程記錄。工單管理技術比較成熟,這里不再贅述。
安全編排與自動化
安全編排與自動化是 CyberSky-SOAR 的核心功能,實現了劇本的編輯維護,以及應用和動作的管理。安全編排與自動化的核心是劇本庫和應用庫(動作庫)。這些庫可以被安全分析、告警管理和案件管理等功能隨時調用。通過該功能,真正實現了 SOAR 將不同的系統協同聯動起來的目標,就像一個交響樂對的指揮。
下圖不失一般性地展示了劇本、應用、動作和被調用設備/系統之間的關系,以及它們被使用的方式。
下圖展示了 CyberSky-SOAR 的一個典型的劇本可視化編輯界面:
威脅情報應用
威脅情報應用功能的核心將外部的威脅情報與用戶自身網絡中收集到的告警信息進行情報比對分析和印證。
威脅情報應用既可以用在安全分析的時候,也可以用在告警調查、案件管理的時候。
下圖展示了在案件管理中調用外部威脅情報系統 (VirusTotal) 動作的界面:
Cybersky-SOAR 較為完整地實現了 Gartner 對 SOAR 定義的核心能力,因而是真正意義上的 SOAR 產品,填補了國內產品空白。同時,盛華安 Cybersky-SOAR 的發布,也踐行了公司成立之初提出的集數據攝取、數據存儲、數據治理、監測分析、指揮調度與一體的閉環態勢感知與管理技術架構的理念。
