浅谈企业安全管理中SOAR技术的应用

　　摘要：互联网在给人们的生活带来便利的同时，各种网络安全威胁也不断发生，特别是数据泄露、DDoS 攻击以及僵尸网络攻击等网络攻击日益严峻，传统的安全防护手段已难以应对。网络安全的攻防对抗越来越激烈，在网络防护上单纯的防范和阻止措施已经无法满足网络安全需求，必须更加重视检测和响应。企业应当构建一个集阻断、检查、响应、预防为一体的新的安全防护系统。而基于 SOAR 技术框架下构建的安全管理平台可以实现并满足企业在新形势下的网络安全需求。

　　赵少飞; 杨睿超， 网络安全技术与应用 发表时间：2021-08-05

　　关键词：SOAR;安全编排;响应

　　1 什么是 SOAR

　　SOAR 的全称是 SecurityOrchestration，AutomationandResponse，意即安全编排自动化与响应。该技术以安全运行和维护的领域为焦点，重点解决安全响应的问题，最早由 Gartinr 在 2015 年提出。当时， Gartner 将 SOAR 定义为 SecurityOperations，Analytics and Reporting (安全运维分析与报告)。随着网络安全技术的快速演变，Gartner 对 SOAR 进行重新定义，定义为安全编排自动化和响应。并将其看作是安全编排与自动化、安全事件响应平台和威胁情报平台三种技术的融合。SOAR 从各种来源获取输入，通过工作流的方式联通各种安全过程和规程，向安全运营者提供安全自动化管理解决方案。这些过程和规程(通过与其他技术的整合)被编制，自动执行，可以达到预期的结果。例如威胁管理、事件应答、威胁信息、合规管理。

　　2 SOAR 的核心技术

　　SOAR 的三大核心技术分别是安全编排和自动化、安全事件响应平台和威胁信息平台。

　　2.1 安全编排与自动化

　　所谓安全编排，是指通过可编程接口(API)和人工检查点，将企业不同系统或系统内不同组件的安全能力安装一定逻辑关系进行组合以完成特定的安全操作。例如，可以将对用户接收的可疑邮件进行深度检测和响应(操作)的过程进行分析，将邮件的发送者、URL 链路、IP 等作为基本信息查询威胁信息系统。将附件发送到沙箱系统进行分析，根据从威胁信息系统和沙箱系统返回的信息，通知邮件系统，进一步决定是否删除该邮件或附件，是否通过 EDR 获得收件人终端上的进一步信息进行分析。上述可疑邮件分析的过程是将邮件系统、威胁信息系统、沙箱系统、EDR 等系统按一定逻辑组合而成的例子。安全自动化(Automation)在这里特别是指自动化的编排过程，即特殊的编排。如果配置过程是根据完全相关联的每个系统的 API 来实现的，则可以自动执行。

　　2.2 安全事件响应平台

　　安全事件响应平台在 SOAR 出现之前就存在。它是对 Incident 的响应和处理的平台。但是，SOAR 出现后，安全事件响应、安全组织和自动化的组合大大提高了响应能力。通常，安全事件响应包括警报管理、日程管理、案件管理等功能。

　　警报管理的核心不仅是安全事件的收集、展示和响应，更是强调了警报分诊和警报搜查。只有通过警告分诊和警报调查，才能提高警告质量，减少警告数量。

　　工单管理适用于中大型安全运行维护团队联合化、流化报警处理和响应，确保响应过程可记录、可测量、可审查。

　　事件管理是现代安全事件响应管理的核心能力。事件管理有助于用户对一系列相关警报进行处理，并持续进行调查分析和响应处理。关于这个事件的痕迹物证(IOC)和攻击者的战术过程指标信息(TTP)不断累积。同时执行多个事件，并持续跟踪一系列安全事件。

　　2.3 威胁情报平台

　　威胁信息平台协助用户通过与多源威胁信息的收集、关联、分类、共享、集成以及其他系统的匹配来实现攻击的截断、检测、响应。

　　3 SOAR 在企业运维中的优势

　　将 SOAR 技术运用到企业运维管理中，可以弥补传统 SOC 运营中常见的一些短板，具体表现为：

　　3.1 企业运维中事多人少的状况

　　企业在安全运维过程中常常面临有限的运维人员，大量的运维事件和告警，虽然利用传统的 soc 系统可以处理部分事件和告警，但是在重大时期或紧急情况下，面对大量不同的事件和告警，人工无法及时有效处理，会导致系统处于危险状态。同时，也对运维人员造成很大的工作压力，导致运维工作容易出错。

　　3.2 企业运维响应时间较长

　　从响应方案的确定到执行，除了队伍的内部协作之外，还需要加入 EDDR/NDR 设备。手动执行锁定等操作，可能需要在不同的系统和工具之间进行切换，涉及需要审批流程时，无法及时进行响应，无法短时间对危险或破坏进行阻断。

　　3.3 运维人员知识积累不足

　　企业在进行事件响应处置时，针对某个具体的安全事件，需选择相适应的处置方式，必须拥有丰富的运维处置经验的运维人员才能及时快速进行事件响应处理。而 SOAR 可以将这些运维人员的处置经验，按照固定的留存并且进行固化，形成案例库。案例库就是 SOAR 的一个主要功能，其固化了安全专家的经验，运维响应可以借鉴案例库中的响应流程对运维事件继续处置。

　　4 SOAR 在企业安全管理中的作用

　　网络攻击随时可能发生。一般情况，攻击者首先开始攻击。运维人员可能会发现异常并进行防守。防守具有一定的延迟性，特别是人工防守，涉及制定防守计划、多人合作、多设备联动、审查、工作流等，响应时间可能会花费较长时间。

　　SOAR 有助于将复杂的事件响应过程转换为一致的、可重复的、可测量的工作流。SOAR 将多个系统和平台联动，调整不同的安全工具和技术，以人和技术结合方式编入到业务流程中，为了简化安全流，创建手动和自动协作操作的工作流步骤，加快事件响应，减少事件响应时间。

　　完整的安全运营中心是人、技术、流程的集合体。以 SIEM 技术为中心的 SOC 平台或安管平台致力于为安全运行运维人员提供一个技术平台。但实际上从来没有实现人和技术的统一，至于流程管理就更不用说了。人、流程和 SOC 平台之间总是有间隙的。SOAR 正好填补这一空白，以整合人、流程和技术为使命，使我们向真正的 SOC 又迈进了一步。