◆趙少飛 楊睿超

淺談企業(yè)安全管理中SOAR技術的應用

◆趙少飛 楊睿超

（陜西省網絡與信息安全測評中心 陜西 710065）

互聯網在給人們的生活帶來便利的同時，各種網絡安全威脅也不斷發(fā)生，特別是數據泄露、DDoS攻擊以及僵尸網絡攻擊等網絡攻擊日益嚴峻，傳統的安全防護手段已難以應對。網絡安全的攻防對抗越來越激烈，在網絡防護上單純的防范和阻止措施已經無法滿足網絡安全需求，必須更加重視檢測和響應。企業(yè)應當構建一個集阻斷、檢查、響應、預防為一體的新的安全防護系統。而基于SOAR技術框架下構建的安全管理平臺可以實現并滿足企業(yè)在新形勢下的網絡安全需求。

SOAR；安全編排；響應

1 什么是SOAR

SOAR的全稱是SecurityOrchestration，AutomationandResponse，意即安全編排自動化與響應。該技術以安全運行和維護的領域為焦點，重點解決安全響應的問題，最早由Gartinr在2015年提出。當時，Gartner將SOAR定義為SecurityOperations，Analytics and Reporting（安全運維分析與報告）。隨著網絡安全技術的快速演變，Gartner對SOAR進行重新定義，定義為安全編排自動化和響應。并將其看作是安全編排與自動化、安全事件響應平臺和威脅情報平臺三種技術的融合。SOAR從各種來源獲取輸入，通過工作流的方式聯通各種安全過程和規(guī)程，向安全運營者提供安全自動化管理解決方案。這些過程和規(guī)程（通過與其他技術的整合）被編制，自動執(zhí)行，可以達到預期的結果。例如威脅管理、事件應答、威脅信息、合規(guī)管理。

2 SOAR的核心技術

SOAR的三大核心技術分別是安全編排和自動化、安全事件響應平臺和威脅信息平臺。

2.1 安全編排與自動化

所謂安全編排，是指通過可編程接口（API）和人工檢查點，將企業(yè)不同系統或系統內不同組件的安全能力安裝一定邏輯關系進行組合以完成特定的安全操作。例如，可以將對用戶接收的可疑郵件進行深度檢測和響應（操作）的過程進行分析，將郵件的發(fā)送者、URL鏈路、IP等作為基本信息查詢威脅信息系統。將附件發(fā)送到沙箱系統進行分析，根據從威脅信息系統和沙箱系統返回的信息，通知郵件系統，進一步決定是否刪除該郵件或附件，是否通過EDR獲得收件人終端上的進一步信息進行分析。上述可疑郵件分析的過程是將郵件系統、威脅信息系統、沙箱系統、EDR等系統按一定邏輯組合而成的例子。安全自動化（Automation）在這里特別是指自動化的編排過程，即特殊的編排。如果配置過程是根據完全相關聯的每個系統的API來實現的，則可以自動執(zhí)行。

2.2 安全事件響應平臺

安全事件響應平臺在SOAR出現之前就存在。它是對Incident的響應和處理的平臺。但是，SOAR出現后，安全事件響應、安全組織和自動化的組合大大提高了響應能力。通常，安全事件響應包括警報管理、日程管理、案件管理等功能。

警報管理的核心不僅是安全事件的收集、展示和響應，更是強調了警報分診和警報搜查。只有通過警告分診和警報調查，才能提高警告質量，減少警告數量。

工單管理適用于中大型安全運行維護團隊聯合化、流化報警處理和響應，確保響應過程可記錄、可測量、可審查。

事件管理是現代安全事件響應管理的核心能力。事件管理有助于用戶對一系列相關警報進行處理，并持續(xù)進行調查分析和響應處理。關于這個事件的痕跡物證（IOC）和攻擊者的戰(zhàn)術過程指標信息（TTP）不斷累積。同時執(zhí)行多個事件，并持續(xù)跟蹤一系列安全事件。

2.3 威脅情報平臺

威脅信息平臺協助用戶通過與多源威脅信息的收集、關聯、分類、共享、集成以及其他系統的匹配來實現攻擊的截斷、檢測、響應。

3 SOAR在企業(yè)運維中的優(yōu)勢

將SOAR技術運用到企業(yè)運維管理中，可以彌補傳統SOC運營中常見的一些短板，具體表現為：

3.1 企業(yè)運維中事多人少的狀況

企業(yè)在安全運維過程中常常面臨有限的運維人員，大量的運維事件和告警，雖然利用傳統的soc系統可以處理部分事件和告警，但是在重大時期或緊急情況下，面對大量不同的事件和告警，人工無法及時有效處理，會導致系統處于危險狀態(tài)。同時，也對運維人員造成很大的工作壓力，導致運維工作容易出錯。

3.2 企業(yè)運維響應時間較長

從響應方案的確定到執(zhí)行，除了隊伍的內部協作之外，還需要加入EDDR/NDR設備。手動執(zhí)行鎖定等操作，可能需要在不同的系統和工具之間進行切換，涉及需要審批流程時，無法及時進行響應，無法短時間對危險或破壞進行阻斷。

3.3 運維人員知識積累不足

企業(yè)在進行事件響應處置時，針對某個具體的安全事件，需選擇相適應的處置方式，必須擁有豐富的運維處置經驗的運維人員才能及時快速進行事件響應處理。而SOAR可以將這些運維人員的處置經驗，按照固定的留存并且進行固化，形成案例庫。案例庫就是SOAR的一個主要功能，其固化了安全專家的經驗，運維響應可以借鑒案例庫中的響應流程對運維事件繼續(xù)處置。

4 SOAR在企業(yè)安全管理中的作用

網絡攻擊隨時可能發(fā)生。一般情況，攻擊者首先開始攻擊。運維人員可能會發(fā)現異常并進行防守。防守具有一定的延遲性，特別是人工防守，涉及制定防守計劃、多人合作、多設備聯動、審查、工作流等，響應時間可能會花費較長時間。

SOAR有助于將復雜的事件響應過程轉換為一致的、可重復的、可測量的工作流。SOAR將多個系統和平臺聯動，調整不同的安全工具和技術，以人和技術結合方式編入到業(yè)務流程中，為了簡化安全流，創(chuàng)建手動和自動協作操作的工作流步驟，加快事件響應，減少事件響應時間。

完整的安全運營中心是人、技術、流程的集合體。以SIEM技術為中心的SOC平臺或安管平臺致力于為安全運行運維人員提供一個技術平臺。但實際上從來沒有實現人和技術的統一，至于流程管理就更不用說了。人、流程和SOC平臺之間總是有間隙的。SOAR正好填補這一空白，以整合人、流程和技術為使命，使我們向真正的SOC又邁進了一步。

[1]邢家鳴，王貴智.SOAR技術在銀行業(yè)應用淺析[J].中國金融電腦，2020（07）.

[2]Gily Netzer.如何讓SOC實現更高效率[J].網絡安全和信息化，2020（03）.