1 SOAR概念介紹

SOAR的概念最初是Gartner在2015年提出的，指的是“Security Operations, Analytics and Reporting Stack”，即“安全運(yùn)維分析與報告”。

隨著安全技術(shù)與市場的演變，SOAR的定義也發(fā)生了變化。近些年，國內(nèi)外安全廠商將重點都放在未知威脅檢測上，但隨著網(wǎng)絡(luò)對抗的日益激烈，單純提升檢測能力已滿足不了需求，客戶需要的是集識別（Identify）、防御（Protect）、檢測（Detect）、響應(yīng)（Response）和恢復(fù)（Recovery）于一體的安全防護(hù)系統(tǒng)，即“IPDRR”。在這樣的背景下，2017年Gartner將SOAR重新定義為“Security Orchestration, Automation and Response”，即“安全編排自動化與響應(yīng)”。

Gartner認(rèn)為SOAR由三種技術(shù)融合而成，包括安全事件響應(yīng)平臺（SIRP）、安全編排與自動化（SOA）和威脅信息平臺（TIP）。SOAR影響IPDRR的多個環(huán)節(jié)，但主要聚焦在RR（響應(yīng)和恢復(fù)）階段。

總的來說，SOAR 是一系列技術(shù)的合集，它能夠幫助企業(yè)和組織收集安全運(yùn)維團(tuán)隊檢測到的各種信息，并對這些信息進(jìn)行事件分析和告警分診。然后在劇本（Playbook）的指引下，利用人機(jī)結(jié)合的方式幫助安全運(yùn)維人員定義、排序和驅(qū)動標(biāo)準(zhǔn)化的事件響應(yīng)活動。

2 市場分析與客戶價值

隨著全球安全產(chǎn)業(yè)的發(fā)展，SOAR在市場上逐步走向成熟，SOAR更多是作為一種能力被融入到其他安全產(chǎn)品之中，例如安全運(yùn)營中心（SOC）、安全信息和事件管理（SIEM）、托管檢測和響應(yīng)（MDR）等。在迅速成長的MDR中，SOAR就是一個關(guān)鍵的要素。而SIEM廠商一直通過收購或自建的方式構(gòu)建SOAR，以提升對事件的響應(yīng)能力。獨(dú)立的SOAR產(chǎn)品也有一定市場空間，相對于內(nèi)置的SOAR，客戶更看重其靈活性和中立性。

SOAR的客戶價值體現(xiàn)在以下幾個方面：

● 減輕告警疲勞

根據(jù)Gartner的定義，SOAR是將事件響應(yīng)、編排與自動化、威脅信息組合在一起的一種解決方案。這些技術(shù)都曾經(jīng)以獨(dú)立產(chǎn)品的形式提供給客戶，但是過多的單點解決方案帶來了預(yù)算和人力上的壓力，工具的復(fù)雜性和重復(fù)性使告警疲勞進(jìn)一步加劇，而SOAR通過整合與自動化可以有效減輕告警疲勞。

● 提升響應(yīng)速度

攻擊在環(huán)境中的進(jìn)展速度越來越快，所以發(fā)現(xiàn)疑似威脅之后僅僅發(fā)出告警和通知是遠(yuǎn)遠(yuǎn)不夠的，客戶期望安全服務(wù)能夠快速地主動遏制和消減威脅對環(huán)境的破環(huán)，SOAR正是在主動響應(yīng)和處置方面發(fā)揮了重要作用。

● 提升安全運(yùn)營效率以及事件閉環(huán)率

通過編排，SOAR將調(diào)查取證、處置、通知等多個環(huán)節(jié)整合在一個工作流里，自動化調(diào)度運(yùn)行，減少了運(yùn)營人員在不同工具之間來回切換的消耗。面對日益增多的威脅，SOAR的自動化能力有助于提升整體安全運(yùn)營效率。

● 積累安全運(yùn)營經(jīng)驗

通過劇本編排，可以將威脅處置的過程轉(zhuǎn)變?yōu)楣ぷ髁鞑⒂涗洷４妫璐藢崿F(xiàn)安全運(yùn)營經(jīng)驗的積累和固化。案例集是對歷史處置的歸納及特征補(bǔ)充，可供安全專家參考分析。

● 提升整合能力

SOAR能夠把環(huán)境中現(xiàn)存的安全產(chǎn)品整合在一起，實現(xiàn)人機(jī)、機(jī)機(jī)之間的有效協(xié)作。SOAR能夠更充分地使用威脅信息系統(tǒng)，使其發(fā)揮更大的價值。

● 提升需求滿足敏捷度

在硬編碼模式下，客戶新業(yè)務(wù)的需求往往要依賴版本升級才能夠?qū)崿F(xiàn)， 在內(nèi)部部署（OP）場景下版本迭代周期長，客戶滿意度難以得到保障。而SOAR與生俱來的低代碼編排能力賦予了系統(tǒng)開放性的特征，安全運(yùn)營團(tuán)隊很容易就能實現(xiàn)工作流創(chuàng)建和改進(jìn)，幫助客戶實現(xiàn)需求變化敏捷落地。

此外，SOAR的作用在安全托管服務(wù)中體現(xiàn)的尤為明顯，因為它可以顯著提升威脅處置的速度和一致性，從而提升服務(wù)級別協(xié)議（SLA）規(guī)定的服務(wù)水平。

3 SOAR關(guān)鍵能力分析

從功能的角度看，SOAR具有如下核心能力：

告警分類和優(yōu)先級定義：

該功能方便運(yùn)營團(tuán)隊聚焦在會對組織產(chǎn)生重大影響或破壞力的威脅告警上，減輕告警疲勞。

案例集管理和協(xié)作：

案例集是對過往響應(yīng)處置的經(jīng)驗積累，可供安全分析師參考，提升分析效率。結(jié)合特征抽取及機(jī)器學(xué)習(xí)等技術(shù)可實現(xiàn)劇本自動推薦等高級能力。

編排和自動化：

編排和自動化將不同的安全工具協(xié)調(diào)整合在一個流程里并自動化運(yùn)行，顯著提升了運(yùn)營效率，降低了威脅對環(huán)境產(chǎn)生的影響。SOAR需要提供直觀的UI工具，用以輕松編排和設(shè)計劇本，還需要具有與廣泛已知及未知的安全產(chǎn)品集成的能力，比如防火墻、終端、沙箱、郵件短信網(wǎng)關(guān)等等。

威脅信息調(diào)查：

威脅信息調(diào)查服務(wù)通過威脅信息庫為威脅判定提供取證信息，從而提升事件處置的準(zhǔn)確率。這個過程可以被編排在工作流中，并根據(jù)取證結(jié)果決定后續(xù)的最佳處置方式。

另外，從架構(gòu)的角度來看，通過冗余和彈性擴(kuò)容等方式可保障SOAR的高可靠可用性，充分關(guān)注編排執(zhí)行的性能，提供完善的權(quán)限管理，支持在OP場景和云上流通部署等。

4 SOAR在HiSec Insight中的實踐

HiSec Insight是華為公司推出的安全態(tài)勢感知產(chǎn)品，形態(tài)上接近SIEM類產(chǎn)品。HiSec Insight基于大數(shù)據(jù)平臺，集威脅檢測、威脅阻斷、取證、溯源、響應(yīng)、處置于一體，助力客戶完成全流程威脅事件閉環(huán)。

HiSec Insight的閉環(huán)能力得益于在2019年產(chǎn)品就集成了自研的SOAR組件。憑借SOAR的引入，HiSec Insight的事件處置周期能夠由天級縮短到分鐘級，平均恢復(fù)時間（MTTR）大幅降低，同時事件閉環(huán)率和處置率也得到顯著提升。

另外，HiSec Insight能夠作為連續(xù)兩年入選Gartner MQ象限唯一的中國產(chǎn)品，其中一個因素就是產(chǎn)品包含了響應(yīng)與編排能力，因此SOAR的重要性不言而喻。

下圖展示了HiSec Insight SOAR的基本架構(gòu)。

● 數(shù)據(jù)采集

HiSec Insight可以采集鏡像流量和多種格式安全日志，通過預(yù)處理加工后，數(shù)據(jù)被發(fā)送到數(shù)據(jù)總線供威脅檢測模塊進(jìn)行分析。

● 威脅分析

威脅分析引擎通過關(guān)聯(lián)分析、人工智能檢測、威脅判定等技術(shù)手段發(fā)現(xiàn)威脅事件，并完成事件分類和優(yōu)先級設(shè)置。此時如果有就緒的劇本與事件匹配，SOAR便會第一時間介入，按劇本流程啟動對事件的處置。

● 事件管理

在HiSec Insight中事件管理屬于獨(dú)立的服務(wù)，主要提供事件查詢和管理的能力。在事件管理中，用戶可以選擇特定的聚合事件，以手動的方式選取劇本進(jìn)行編排處置。

● 編排管理

編排管理包含響應(yīng)動作配置和劇本配置兩個模塊。

動作配置用于完成對安全工具的App封裝，包括認(rèn)證方式、訪問憑證、訪問地址等設(shè)備配置信息，以及對工具API接口的Action封裝。HiSec Insight預(yù)置了大量的安全設(shè)備類型（以華為設(shè)備為主）和響應(yīng)動作的配置，也提供了與第三方設(shè)備對接的配置能力。

劇本配置提供劇本編輯和劇本管理功能。HiSec Insight SOAR提供了可視化的劇本編輯工具，允許用戶以拖拽的方式完成劇本的創(chuàng)作。工具采用了業(yè)界主流的縱向排版方式，內(nèi)置了響應(yīng)動作、過濾、條件判斷、聚合、人工決策、數(shù)據(jù)格式化等多種節(jié)點，并逐漸補(bǔ)充了子流程嵌套、循環(huán)等能力。

通過預(yù)置的大量劇本和Action，HiSec Insight將積累的安全經(jīng)驗傳遞給客戶，并為客戶提供“開箱即用”的能力。

● 自動化執(zhí)行

HiSec Insight SOAR提供了自動觸發(fā)和手動觸發(fā)劇本執(zhí)行的兩種方式。自動執(zhí)行劇本通過匹配事件類型的方式觸發(fā)，手動執(zhí)行由用戶選擇適當(dāng)?shù)膭”具M(jìn)行事件處置。

劇本運(yùn)行的過程中，執(zhí)行引擎會調(diào)用威脅信息系統(tǒng)進(jìn)行取證判斷，根據(jù)取證結(jié)果決定后續(xù)流程。通過前面的敘述我們可以了解到，編排的關(guān)鍵是對不同安全工具的調(diào)用，這部分也是通過編排執(zhí)行引擎實現(xiàn)的。HiSec Insight SOAR根據(jù)動作管理的配置完成與各種安全工具、系統(tǒng)和服務(wù)的對接，包括用戶的第三方設(shè)備。

● 案例管理

劇本執(zhí)行的結(jié)果會形成task用以歸檔查看。同一類型事件的task自動匯聚形成案例集，用于輔助安全專家做參考分析。

5 HiSec Insight SOAR的未來展望

支持云上部署已經(jīng)成為SIEM類產(chǎn)品的發(fā)展趨勢，SOAR作為核心組件也將迎來云化改造。為了支撐上云后業(yè)務(wù)規(guī)模的動態(tài)增長，SOAR在架構(gòu)上需要支持平滑擴(kuò)容等云原生特性。

上云后，SOAR需要具備完整的多租戶能力，包括劇本和聯(lián)動設(shè)備的租戶級管理、劇本執(zhí)行記錄和案例的分租戶查看等等。利用云上的威脅信息服務(wù)，SOAR調(diào)查取證準(zhǔn)確率將得到進(jìn)一步提升，同時威脅信息服務(wù)的價值也可以得到更加充分的發(fā)揮。

SOAR在未來會提供完善的三方集成框架，設(shè)備或服務(wù)將以App插件的形式動態(tài)地集成到SOAR上。由于App封裝了與設(shè)備聯(lián)動的復(fù)雜邏輯，用戶的配置難度將會大幅降低，SOAR與三方集成的能力也會顯著增強(qiáng)，有利于形成以HiSec Insight為主的生態(tài)環(huán)境。

6 結(jié)束語

網(wǎng)絡(luò)攻防對抗日趨激烈，客戶環(huán)境時時刻刻都要面對海量攻擊的威脅，唯有提升自動化檢測、響應(yīng)與恢復(fù)能力，才能為客戶提供有效的安全防護(hù)，保證核心業(yè)務(wù)的平穩(wěn)運(yùn)行。然而自動化只是一種手段，SOAR也只是一個工具，由工具所承載的安全運(yùn)營經(jīng)驗才是決定最終落地效果的關(guān)鍵。因此從SOAR的角度看，一方面要提供高質(zhì)量的預(yù)置能力，包括預(yù)置編排劇本和預(yù)置設(shè)備配置等，力爭以開箱即用的方式解決客戶現(xiàn)場80%以上的問題。另一方面要增強(qiáng)內(nèi)功，提升編排靈活性和易用性、執(zhí)行引擎的穩(wěn)定性和效率，同時具備強(qiáng)大的三方集成能力，幫助安全團(tuán)隊高效地利用工具，通過人機(jī)協(xié)同實現(xiàn)高效、智能的安全運(yùn)營。

參考文獻(xiàn)： Lawson C, Price A. Market guide for security orchestration, automation and response solutions[R]. Technical Report. Gartner, 2022.