SOAR可从SIEM等收集报警信息 目标是将安全编排和自动化
首席安全官Plus是一个围绕“大数据、云计算和人工智能”高技术领域,发布相关网络安全前沿技术和产业趋势的平台,努力打造“有特色、高水平、国际化”的网络安全思想高地。如投稿,请发送到:csoplus@163.com。
欢迎关注我们的公众号,谢谢!
随着企业组织面临越来越多的威胁,为了能够进行快速、持续地响应,安全人员不得不与复杂操作流程以及匮乏的资源、技能和预算等做斗争。青藤云安全坦言,很多企业由于安全和运维人员短缺,更希望能够通过自动化方式而不是人工方式去执行重复任务。以勒索软件为例,为了有机会控制其在企业组织中横向渗透的威胁,企业需要能在几分钟内快速完成响应。在这样情况,企业组织只能通过将更多任务派发给机器以减少响应时间。
但是当下,以SOC为代表安全监控系统,不仅成本高昂,而且会产生大量误报。如果安全人员以手工的方式处理大量警报分类,很容易导致忽略真实且有危害的事件。减少响应时间(包括事件遏制和补救)是控制安全事件影响的最有效方法之一。虽然在各个行业威胁检测的平均时间呈下降趋势,但仍然需要很长时间。对于大多数企业来说,快速发现威胁并作出响应和补救措施仍然面临巨大挑战。
在这样的背景下,安全编排、自动化与响应(SOAR)技术的需求迎来大幅增长。SOAR出现可以解决响应过程中人员短缺、改进警报分类质量和速度、减少响应时间、降低安全人员工作压力等问题。
1.SOAR进化发展
根据Gartner预测,到2022年,有30%大型企业组织(安全团队超过5人)将在安全和运维的工作中使用SOAR,这一比例远超当下5%。当下SOAR技术的早期拥护者是那些已经拥有成熟安全运维中心,并且能够理解SOAR带来好处的那些成熟的安全组织。
2015年,可以定义为SOAR的1.0时代。Gartner将SOAR(当时被认为是“安全运维分析和报告”)描述成为安全运维团队提供机器可读的安全数据报告和分析管理功能的产品。2017年,SOAR进入2.0时代。Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语,用以描述脱胎于事件响应、安全自动化、场景管理和其他安全工具的一系列新兴平台。Gartner观察到三种以前截然不同的技术:安全编排和自动化(SOA)、安全事件响应平台(SIRPs)和威胁情报平台(TIPs),正在逐步融合到一起,如下图所示。
不同时代SOAR类别
根据Gartner2019年最新定义,SOAR是指能使企业组织从SIEM等监控系统中收集报警信息,或通过与其它技术的集成和自动化协调,提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。
这种融合到2019年仍然持续进行中。例如,在Splunk收购Phantom之后,SOAR可能会嵌入到它的SIEM中,并用于IT操作场景。SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。例如基础设施监视、应用程序性能监视和故障排除。
2.SOAR核心功能
虽然SOAR能够为安全人员提供自动化工具来提高他们的工作效率,极大增强了威胁检测和响应等活动安全效果。但是SOAR工具也并非万能“银弹”,很多人都认为它将把警报功能与防火墙、入侵检测和预防系统(IDPS)和端点保护平台(EPPs)等预防性工具集连接起来。
实则不然,SOAR技术的功能是使企业组织的安全团队能够收集监控数据,例如警报,并能够实现部分自动化地进行事件分析和分类过程。这些功能目的是在帮助安全人员根据预定义的工作流,确定优先级并推动标准化的事件响应活动。就目前而言,SOAR 的三大核心技术能力分别是安全编排与自动化、安全事件响应平台、威胁情报平台。
(1)安全编排与自动化(SOA):这是SOAR的核心能力和基本能力
安全编排 (Orchestration) 是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口 (API) 和人工检查点,按照一定的逻辑关系组合到一起,用以完成某个特定安全操作的过程。
SOAR中的关键词是编排,这是在使用自动化和响应之前必须构建的关键组件。编排,就像音乐指挥家编排乐队来传递音乐一样。未来所有安全设备都会被打散成API和数据,根据数据建立指标,API则对这些数据进行操控编排。从现在市场可以看到是,以青藤云安全为代表新一代安全厂商,都采用了核心平台引擎化的技术。
所谓的引擎化就是可以迅速把安全想法变成现实可用的功能,而要支撑这个能力技术就是Full API和安全编排能力。而实现安全平台引擎化包括三个核心要素:灵活的数据生成能力、机器学习能力、模型快速验证能力。
安全自动化 (Automation) 在这里特指自动化的编排过程,也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的 API 实现的,那么它就是可以自动化执行的。与自动化编排对应的,还有人工编排和部分自动化(混合)编排。
不论是自动化的编排,还是人工的编排,都可以通过剧本 (playbook) 来进行表述。而支撑剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本,SOAR 通常还提供一套可视化的剧本编辑器。
剧本是面向编排管理员的,让其聚焦于编排安全操作的逻辑本身,而隐藏了具体连接各个系统的编程接口及其指令实现。SOAR 通常通过应用 (App) 和动作 (Action) 机制来实现可编排指令与实际系统的对接。应用和动作的实现是面向编排指令开发者的。
(2)安全事件响应平台(SIR):这是SOAR的关键功能
通常,安全事件响应包括告警管理、工单管理、案件 (Case) 管理等功能。告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。
工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。
案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。
(3)威胁情报平台(TIP):这是SOAR的重要功能
威胁情报平台是通对多源威胁情报的收集、关联、分类、共享和集成,以及与其它系统的整合,协助用户实现攻击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。
此外,隔离跟修复,也是响应之后一个重要操作。包括文件隔、文件删除、进程网络隔离、进程杀死/阻塞、进程隔离和基于哈希的阻止等等。
3.SOAR部署条件
每个企业部署流程和技术并不相同,因此并不能“即插即用”,而是需要数周专业的安全服务才能完成初始化的场景部署。在早期时候,安全编排和自动化是以单点安全解决方案形式在那些预定义和自动化的工作流中工作。在准备部署实施SOAR之前,需要先拥有一组已经定义好的工作流和业务流。开箱即用和集成虽然可以实现,但是真正运行还是少不了定制化的工作。利用专业服务和内部资源的组合,为SOAR工具的实施和运行制定计划。
因此,安全编排、自动化和响应工具适合那些为提高安全处理效率而对运营流程进行了清晰又正确分层的企业组织。安全人员在决定购买SOAR之前,应该认真评估当前安全运营中效率不高的那些流程是否能够通过SOAR工具就可以得到很好提升。
基于工作业务流驱动的流程
在使用SOAR平台前必须具有定义良好的内部流程,而构建这些内部流程需要来自内部人员的技能,而这些技能在平台上是买不到的。每个事件都应该遵循一个流程来为特定的事件(通常称为剧本)构建正确的编排。在定义流程时,安全和运维人员通常会使用观察、调整、决策和行动(OODA)循环,在使用SOAR工具前也可使用这个循坏:
(1)观察事件并确定发生了什么。
(2)确定观察的方向,并添加上下文来确定观察的含义。
(3)根据业务的风险容忍度和能力决定适当的响应行动。
(4)根据决定采取行动,并应用到观察过程中,然后重复。
与OODA相关的检测流程
虽然SOAR平台能够消除现有员工当前执行的单调、重复任务的需求,但是SOAR本身并不能代替人类。SOAR技术可以帮助安全和运维团队更快地从决策点a移动到决策点B,但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。
在SOAR产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此,我们只能将SOAR应用于已经预想可能会发生的并且知道如何响应的安全场景中。
有些SOAR供应商为特定的场景预定义了剧本,可以根据需求将剧本拖放到响应场景中,这在一定程度上可以帮助企业克服构建整体编排和响应操作的挑战,但这也并不是维护SOAR平台长期发挥作用的解决方案。
SOAR功效发挥除了依赖于清晰流程和丰富的预定义剧本之外,通常还需要具有特定编码和脚本技能的内部团队成员来运维SOAR平台。除了剧本和响应的维护,还需要安全人员能够提供API能力用于连接各种安全工具 (如SIEM、EDR、NGFW等)。
4.SOAR场景价值
由上文可知,SOAR是由三种技术解决方案(安全编排和自动化、威胁情报平台和事件响应平台)融合而成的概念。市场上最初并没有SOAR厂商,因此许多来自不同领域的厂商,开始从不同的角度来构建他们自己的SOAR解决方案。为此,不同SOAR提供了不同价值,主要可以分为三类:增强SIEM管理、创建更好调查平台、优化安全团队管理和流程管理。尽管这些价值可能会重叠或具有一定的包含性,但SOAR厂商如何打造推广自家SOAR价值将会影响他们的市场潜力。
SOAR价值
不管提倡哪类价值,SOAR都不是SIEM下一代,也不是取证或合规管理工具的替代者。SOAR的定义相当宽泛,因此吸引了众多厂商争夺市场领导地位。许多供应商已从他们现有的解决方案转向了SOAR提供商。因此,不同安全厂商产品有不一样价值卖点,进而可吸引不同甲方企业和不同角色的人员购买。
目前,SOAR在企业组织中最常见的使用场景是通过数字工作流方式,定义事件分析和响应过程。通过对剧本等工具有效利用,以及威胁情报在安全运维中的使用,从而增强企业组织在面临威胁时预测、防御、检测和响应能力。
SOAR可从SIEM等收集报警信息 目标是将安全编排和自动化相关推荐
- 安防工程商前期收集客户信息15种方法与详细流程
安防工程商前期收集客户信息15种方法与详细流程 [关键词]安防资料安防 收集 客户 工程 监控 作为工程商,安防工程商与其他行业工程商一样,要面临前期客户开发的问题.收集客户信息管理及流程如下 ...
- app获取个人信息是否合法_【关注】如何界定App违法违规收集个人信息?认定方法来了!...
落实<关于开展App违法违规收集使用个人信息专项治理的公告>,依据<网络安全法>等法律法规,参照国家标准<个人信息安全规范>,制定本文件. 一.没有公开收集使用规则 ...
- 工信部 学习类app_工信部整治APP侵权行为,私自收集个人信息等8类问题被点名...
中新经纬客户端11月4日电 据工信部官方微博4日消息,工信部发布<关于开展APP侵害用户权益专项整治工作的通知>,<通知>指出,将对违规收集用户个人信息.违规使用用户个人信息. ...
- oracle 查看统计情报,Oracle 查看收集统计信息
-- Start 统计信息相当于情报,对 Oracle 至关重要,如果统计信息不准确,Oracle 就会做出错误的判断.那如何查看统计信息呢?试一试下面的 SQL 吧. -- 查看表统计信息 sele ...
- 如何修改Exchange邮件报警信息
目前XX集团邮件系统的报警信息如下, 报警主题及默认文本如下图: 解决办法: New-SystemMessage–QuotaMessageType WarningMailbox –Language E ...
- 修改Exchange邮件报警信息
修改Exchange邮件报警信息 目前XX集团邮件系统的报警信息如下, 报警主题及默认文本如下图: 解决办法: New-SystemMessage –QuotaMessageType WarningM ...
- oracle收集统计计划,oracle收集统计信息之analyze
oracle收集统计信息之analyze 1.analyze 收集表,索引的统计信息,现在oracle不推荐用analyze收集统计信息 收集表的统计信息Analyze table tablename ...
- 21. 将报警信息实时发送至邮箱
在日常运维中经常用到监控,其常用的是短信报警.邮件报警等.相比短信报警,邮件报警是一个非常低成本的解决方法,无须付给运营商短信费用,一条短信有字数限制,而邮件无此限制,因此邮件报警可以看到更多告警信息 ...
- oracle并行收集统计信息慢,Oracle 学习之性能优化(四)收集统计信息
emp表有如下数据.SQL> select ename,deptno from emp; ENAME DEPTNO ------------------------------ ------ ...
最新文章
- centos7编译PGSQL9.6并配置UUID
- java中创建对象的方式
- java classname.this_java 中 类名.this与类名.class
- 【和我一起学习Unity3D】Unity3D的坐标控制
- 关于ABAP排序不稳定的问题
- JavaFX实际应用程序:AISO HRC-Matic
- 西部数码虚拟服务器备案,虚拟主机备案才能使用吗
- Python设计模式:适配器模式
- 记录一次重装win10系统的流程
- 网络知识汇总(基于W5500以太网)
- kali2022安装AWVS
- 苹果 Apple Id 不同区域的不同点
- 2022-03-09:我们正在玩一个猜数游戏,游戏规则如下: 我从 1 到 n 之间选择一个数字。 你来猜我选了哪个数字。 如果你猜到正确的数字,就会 赢得游戏 。 如果你猜错了,那么我会告诉你,我选
- 基于springboot点餐系统java web订餐管理平台源码
- 智慧工地帮助建筑企业高效实现工人实名制管理
- 美国未来计算机人才需求,对话美国帕森斯前院长:“未来人才需求趋势”
- 模拟点击框架网页内无id无name的按钮
- 苹果id提示购买无法完成怎么办?
- stricmp linux 头文件,Windows下程序向Linux下移植细节
- 线程共享地址空间的问题