现代化SOAR的产品化落地（一）

admin

0
文章

0
评论

2023-11-30 00:15:16 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

作者：cyg07@360-CERT

0x00 SOAR近况

今年Gartner再次更新了SOAR（安全编排自动化响应）的定义，表达出了更高的期待：

定义6【2020】：SOAR平台是一类为人类安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。这里的团队不限于SIEM操作员或SOC分析师。这里的团队可以包括告警与分诊管理、事件响应人员、威胁情报、合规经理、威胁猎手。

定义7【2020年，安全运营炒作曲线】：SOAR是一类从各种来源获取输入，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。（参考１）

对于SOAR的定义不再只是单一的响应联动，而是寄望于它能够进一步促进SOC（安全运营中心）中人、技术、流程，三位一体的融合，加速PPDR模型中预测、防御、分析检测、响应过程。

反观SOAR在国内的市场都是不温不火的，归结下主要有几点原因：

国内安全技术从业人员偏少，包括非技术类的整体从业人数也就十几万人（据调查），面对复杂如SOAR的平台也是无从下手；
设备、接口碎片化过于严重，各设备谈不上接口标准化，生态不成熟，自家各盒子产品都不见得能用SOAR串起来；
国内公有云厂商对于SOAR的安全建设多少乏力，公有云本是所有一流安全技术持续落地的优先场景；

前面两点就足以限制其市场地位，更不用说甲方用户、公有云、威胁情报提供商对它的认知了，所以目前多数安全厂商会选择兼顾市场需求的短平快联动功能进行产品开发，不会把功夫花在Gartner炒作和SOAR的绣花上。

任何一个新技术的尝试都需要一点点理想主义、加上现实的捶打，SOAR也不例外，面对着告警爆炸、人才/经验短缺、工具过量的痛点，SOAR作为由安全编排与自动化、威胁情报平台和事件响应平台融合而起的新兴安全解决方案，其所追求的人机协同自动化是解决这个痛点的方案之一，它是值得去探索的。

0x01 现代化SOAR的落地探索

假设下场景，当你作为安全分析与运营人员，作业于一个10万规模的IDC环境，历史原因分布在十几个大大小小的机房，架构并收集了一堆HIDS、IDS、WAF、RASP等日志，你的SIEM(安全事件管理)平台每天需要吐出大量的告警、漏洞、新漏洞，你需要进行分析研判、通报处置。最终，要么你每天只挑几个告警出来运营，要么普遍都会都会陷入告警疲劳。

那么除了进一步优化告警本身和联动那些设备外， SOAR能为这个问题提供什么解呢？ SOAR可以让你可以站在综合型的安全运营视角里找到可以量化、标准化的抓手去提升你的安全运营成熟度，合理运用现有分析人员所积累的知识配合playbook（剧本）化的方式去驱动整个SOC（安全运营中心）的作业，在已有的运营手段基础上提供一个更加灵活和本地场景定制化的手段去优化提升安全运营效率。

而且SOAR中很重要的一点是，隐含了OODA（观察、调整、决策、行动）循环思想：

(1) 观察事件并确定发生了什么；

(2) 确定观察的方向，并添加上下文来确定观察的含义；

(3) 根据业务的风险容忍度和能力决定适当的响应行动；

(4) 根据决定采取行动，并应用到观察过程中，然后重复；

虽然SOAR平台能够消除现有安全运营流程中执行的单调、重复任务的需求，但是SOAR本身并不能代替人类。SOAR技术可以帮助安全运营人员更快地从决策点a移动到决策点B，但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。

在SOAR产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此，我们只能将SOAR应用于已经预想可能会发生的并且知道如何响应的安全场景中。

所以，现代化SOAR除了需要完成从响应到分析调查的升华，完成SOC效率、MTTR的提升，还需要做到知识的留存等。在实际过程中对接SIEM, XDR, 资产，云端威胁情报等，以Playbook(剧本化)的形式，融合分析人员的知识来驱动下层的自动化编排引擎、作战室协作、案例化管理、威胁情报管理等方式实现一个安全运营体系的升级。

SOAR中的三个基本功能(还在持续演进)——Playbook的编排自动化、沉淀知识的案例化管理：