SOAR平台初探(一)
1.前言
Security Orchestration, Automation and Response(SOAR)安全编排和自动化响应,是Gartner2017年提出的新概念。Gartner预计到2019年,大概30%的大中型企业会进行SOAR平台的建设。
2. 概述
目前来说,一般大中型企业都已经建立了相对比较完备的安全运营中心SOC,为什么又要提出SOAR的概念呢。主要是因为在SOC的运营过程中,面临以下的一些问题:
- 大量的安全事件,都需要安全分析师的介入,运营成本高,企业需要用更少的钱,来做更多的事。
- 安全分析师的分析时间,经常被浪费在一些低级别或无关紧要的事件分析上。
- 传统的安全响应执行过程,响应时间长,人工介入多,相关处理过程难以定量评估。
- 人员流动,带来运营过程的变化和运营质量的变化,比如老人离职,新人进来需要培训,需要时间和经验的积累。
SOAR平台主要就是解决这些问题,其核心概念主要包括:
- Orchestration,编排
与过去相比,现在的安全运营中心需要整合大量的系统,运维的复杂度也大大增加,事件的响应与处理需要应对各种各样的复杂的情况。要满足这些需求,必然需要的提供丰富的事件响应与处理编排能力,可以进行流程定制,流程执行,流程监控,结果的验证与评估,流程再造。
- Automation,自动化
当前安全分析师在解决安全问题时所需要的数据,分析的方法与过去相比,其工作量和内容都大大增加。数据是海量的数据,大量的数据需要使用自动化方式去处理。既可以节省时间,人力,成本,也避免人在处理大量数据的过程中带来的误差或失误。
- 合理的KPI评估体系
系统提供编排与自动化执行能力,也需要对流程和自动化执行的结果进行有效的评估,需要提供合理的评估方法,可量化的评估指标,根据评估结果,才可以进行流程再造,优化我们的编排内容,带来整个安全运营中心的效率提升。
3.SOAR平台基本功能需求
针对SOC运营的一些问题,我们可以看出SOAR平台需要具备的一些基本功能:
1.系统能够对接主流的安全管理平台的管理数据,可以对安全事件进行二次分析和聚合。
2.具备流程化自动执行功能,能够依据场景或案例,制定执行计划和执行脚本,并具备自动、半自动和手动执行的能力。
3.对执行效果可以提供合适的KPI进行评估,反馈,在修改的能力。
4.执行过程能够整合既有的知识库,经验。
5.和威胁情报对接能力,多协议支持。
6.可定制的可视化分析和展现,可以定制Dashboard展现内容。
7.内容分享,沟通和交互,充分利用微信,邮件等既有沟通平台,提供反应速度。
4.SOAR和SOC的关系。
有一部分人认为SOAR的功能是包含在SOC中的,比如现在国内的一些安全厂家,也都在SOC中添加事件处理,调查,响应功能。但是专业的事还是需要专业的软件来执行,SOAR更偏重于安全分析师所做的工作,侧重于过程,比如把对于一封钓鱼邮件的分析,通过程序自动化的执行。而且一套好的SOAR平台,是能够整合不同厂家的相关产品,不管是SIEM,SOC,还是TI相关产品。SOC产品更偏重于事件的采集,分析与告警,响应在SOC中更多的是手动的的操作。