酷应用

基于SOAR的安全运营之道

业界作者：HackerEye 2020-01-21 02:38:20

　　【IT168 评论】2015年，Gartner首次将SOAR定义为一个平台，它能够利用机器可读的有意义的安全数据来提供报告、分析和管理功能，以支持组织中的安全运营团队。正如每一项技术一样，行业需求和灰色地带为创新解决方案铺平了道路。同样，网络安全也在不断演变，也在不断攀升。在这篇文章中，我们看看什么是SOAR，SOAR的各种组件，以及基于SOAR的安全运营解决之道。

　　1. 介绍

　　保护业务不受网络攻击的责任在于内部安全运营团队。毫无疑问，攻击者正在不断改进和升级他们的工具和技术。此外，通过绕过传统的安全控制，他们可以很容易地渗透到业务网络中。从业务的角度来看，这种情况会进一步恶化，因为许多员工没有遵守基本的安全实践，最终成为社会工程攻击的受害者。人是网络安全生态系统中最薄弱的一环，人的失误往往会导致企业实施安全控制的效率出现问题。

　　随着攻击的复杂性不断增加，内部安全运营团队的工作不会变得更容易。要成功地缓解安全事件，首先需要检测它。目前检测事件的平均时间已经减少了，但对于APT攻击的分析过程仍然是相当长的时间。根据调研发现，金融公司平均需要几十天来检测一个事件，而一般消费类公司可能需要大约上百天。一旦发现，成功的对威胁进行消除和恢复同样是具有挑战性的方面。随着越来越多的监管/法律要求，合规的负担也成为焦点。

　　为了解决这些问题，企业构建大量的安全分析类工具。但目前的现状是在一天的大部分工作时间里，内部运营团队的时间都浪费在了处理误报上。

　　为了有效地监视组织的安全性，工具和技术是一个方面。拥有适当的文档化的策略、过程，以及以最大的优化和效率执行它们的能力是必要的。同样，一些企业已经编制了文档，而许多企业只编制了某些策略，它们继续依赖于临时应急响应计划。

　　当企业寻找能够从现有工具收集数据并将其显示在一个集中的仪表板中，同时对生成的告警采取自动化操作的解决方案时，SOAR就会出现。

　　Gartner作为安全理论及实践方面的权威，对SOAR进行了全面的定义。它将SOAR定义为：使组织能够收集来自不同来源的安全威胁数据和警报的技术，在这些技术中，可以利用人工和机器的组合力量来执行事件分析和分类，从而帮助定义、确定优先级，并根据标准工作流驱动标准化的事件响应活动。SOAR工具允许组织以数字工作流格式定义事件分析和响应过程，这样一系列的机器驱动的活动就可以实现自动化。

　　2. SOAR-安全编排响应自动化

　　2.1. Security Orchestration

　　安全编排是一种通过集成多个系统和平台来调整不同的安全工具和技术的方法，以简化安全流程，增强安全自动化以加速事件响应。它有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流。与人工协作相结合，安全编排将人员、流程和技术集合在一起，以提高安全操作团队的整体效率。

　　安全编排主要包含以下几个方面：

　　●能够做出明智的决定并协调整个过程

　　●响应的规范化和自动化

　　●充分考虑风险动态及环境感知。

　　具体来说，在一个SOAR平台上，它从各种工具收集日志及告警信息，关联分析它们的紧迫度及危险性，启动并执行事件响应，同时测量整个响应过程。

　　例如，一个异常外联事件报告给一个SOC。分析人员将针对来源主机进行取证，以确认主机内是否存在异常进程、异常服务、及异常病毒文件等行为以判定当前主机是否已被攻陷，并获取到所有的取证信息，这些取证过程都必须通过分析人员人肉来执行。而在SOAR中，边界防护安全系统、沙箱系统、EDR系统等将会被整合。一旦平台收到异常外联事件，业务流程将启动来自各种来源的数据收集，并在某个统一视角下呈现形成APT威胁场景。如果SOAR拥有针对当前APT威胁的自动化处置脚本，将自动启动适当的事件响应操作，如果没有，将由分析人员做出最终决定并基于本次响应结果，固化成自动化响应脚本，作为下次类似威胁场景自动化处置手段。整个安全运营业务流程通过协调涉及不同底层工具的整个流程，大大减少了上下文切换时间，即在不同工具之间切换所花费的时间。

　　理想情况下，安全编排应当提供与大多数的安全厂商集成功能。这种集成应该是在数据输入方面的双向性，即，推送数据和提取数据；以及丰富的特性，即，灵活和可定制化的API，以便充分利用供应商产品的所有功能。编排必须有一个抽象层，分析人员可以使用这个抽象层为特定的API创建逻辑和抽象，然后通过SOAR工具将其转换为API调用。

　　2.2. Automation

　　自动化，作为编制的一个子集，指的是在整个流程中或部分流程中，通过层次较高的任务(或称为剧本)执行大量任务。内部安全团队可以使用它来改进性能、准确性和采取行动的时间。

　　自动化应该通过一组标准的步骤、决策过程和指令来指导用户。它必须要有足够的灵活性，例如在关键分析或响应的节点，将人的决策过程纳入到自动化流程中。工作流应该在预先确定的操作集上运行，并提供检查状态、执行和审计的功能。

　　2.3. Response

　　SOAR解决方案的第三个组成部分使它在许多方面比传统的安全解决方案更有效。Response处理事件的整个生命周期—警报的生成、其验证、自动响应、人工干预、缓解和报告。该组件由多个子组件组成，例如:

　　●告警的处理和分类

　　SOAR从各种安全工具收集数据，并将它们显示在一个集中的仪表板中，供内部安全团队评估生成的告警。大多数此类告警由SOAR解决方案自动处理，因为它们要么是通用的，要么在许多情况下是误报。根据收集到的数据，还对告警的紧迫性和危险性进行了评级，以便需要人工干预的告警按顺序从高度临界开始处理。数据在整个过程中被收集形成证据链，并相应地提供给各种安全分析人员及运营人员使用

　　●记录和证据支持

　　保持对所采取的行动的跟踪，不管是自动的还是手动的，为了保持责任是必要的。

　　它们还在满足法律/规章要求方面发挥作用。

　　●调查与威胁情报

　　当内部安全团队分析警报时，SOAR工具应具有在整个过程中存储人工制品的能力。这些人工制品在按时间顺序演示操作和审计期间的最终决策时非常有用。

　　来自多个来源的威胁情报数据以及SOAR解决方案提高了识别假阳性警报的效率。

　　●案例管理及工作流程

　　为了快速处理生成的警报，SOAR解决方案应该建议在需要手动或部分手动干预的情况下采取一组操作。建议包括剧本、api、脚本等。必须提供一个专注于工作流自动化和策略执行的专用用户界面。

　　3. 绿盟SOAR实践

　　3.1. 绿盟SOAR：Orchestration

　　3.1.1. Out-of-box integration connectors

　　绿盟科技采用自研的SecDevOps框架，工程人员可以基于标准插件化模板编排不同设备厂商不同数据类型的数据接入模型，快速集成并实现插件的在线激活及接入，实现数据源的开箱即用的能力；

　　同时工程人员可以基于标准插件化模板编排不同设备厂商不同管控设备的管控模型，快速集成并完成管控设备插件的在线激活及接入，实现管控设备的开箱即用能力

　　3.1.2. 利用playbook实现响应编排能力

　　利用系统提供的丰富的playbook SDK，通过playbook剧本的工程化编制，实现：

　　●针对对威胁场景，依据当前已收集的取证信息，根据威胁的攻击方式、其对应病毒传播方式、紧迫程度等，制定的响应策略（包括响应动作，响应动作的紧迫度/优先级）实现对响应动作的编排

　　●针对威胁场景所采取的某一响应动作，依据防护设备防护策略，进行响应动作的防护设备的选排过程，

　　3.2. 绿盟SOAR：Automation

　　3.2.1多层级自动化

　　针对已知威胁并固化了相应playbook执行脚本的案例，当威胁发生时并送入到SOAR平台中，SOAR引擎自动调用固化的playbook脚本，依据playbook固化的处理流程及处理优先级，实现对威胁的全局封堵、被感染主机清除及被影响主机的加固等过程。

　　针对未知威胁尚未形成相应的playbook执行脚本时，系统在威胁研判过程逐步形成的威胁证据链，依据威胁的紧迫度及危险程度等条件，依据响应优先级（优先级从高到低：阻断传播路径-清除-加固）调用微场景化的通用playbook执行脚本，实现对威胁的全局封堵、被感染主机的威胁清楚及被影响主机的加固过程等。微场景化的通用playbook脚本包括：

　　●全局通用playbook脚本如：block-ip、block-url、ip-isolation等；

　　●被感染主机通用威胁清除playbook如：kill-process、delete-file、kill-task、disable-service、clear-registor等

　　●受影响主机的通用加固playbook如：disable-service、add-NF-rule等。

　　在通过微场景化的通用脚本处置完成并经过验证无误后，系统可以根据已经执行的通用playbook进行编排生成固化的针对当前威胁案例的playbook，后续当相同威胁进入网络中，SOAR则依据处置的优先级及紧迫度，依次执行固化后的响应剧本。

　　3.2.2自动化playbook生成

　　绿盟科技采用blockly框架技术，以所见即所得的方式，基于图形化界面以拖拽方式进行playbook的自动化生成。大幅度提升playbook的编排过程，并降低人为因素导致的playbook剧本编制过程的错误。

　　3.2.3自动化和人工处理的融合

　　在playbook的自动化执行过程中，提供的playbook SDK API支持完整的工作流支持能力，在playbook执行的任何节点，可以和人工workflow进行交互，可以有效实现自动化处理和workflow人工处理的有效结合，保证运维的精准。

　　3.3. 绿盟SOAR：Response

　　利用NDR/EDR的管控响应能力，实现设备的自动化联动，构建全方位的响应体系，实现对网络及主机全面的安全自动化运营能力，包括威胁拦截，可疑访问源封杀，被攻陷主机的隔离、威胁消除及未攻陷主机的加固等。

　　3.4. 围绕SOAR的自动化响应生态体系

　　由于绿盟科技采用的开放性SecDevOps框架模式，使得绿盟科技的SOAR平台具备：

　　●对任意厂家及任意类型数据源的快速集成接入；

　　●对于任意厂家NDR/EDR设备的快速集成能力。

　　同时为支持第三方大量及丰富的处置已知威胁的playbook，我们在针对playbook 的SDK增加了面向第三方的SDK适配层，能快速兼容第三方厂家的playbook剧本，实现不同厂家playbook的跨平台共享及自动化响应

　　在和第三方的NDR/EDR对接中，绿盟SOAR平台支持OpenC2的南向标准接口，在双方依从Openc2规范性的情况下，绿盟SOAR平台具备了无缝接入NDP/EDR的能力。

　　基于以上开放性的设计思路，我们会持续将SOAR平台打造为 Open-To-Anyone的开放生态体系

　　4. 基于SOAR的安全运营

　　4.1. 绿盟安全运营服务目标

　　绿盟安全运营服务，就借助于一系列的安全监测、分析、响应等技术平台，特别是借助于SOAR的自动化及实时响应能力，通过7*24小时持续性运营保障，切实做到在事前依据有效精准的预测实现对网络系统的加固、在事中依据精准分析快速有效的做到拦截和封杀；事后依据完整精确的取证信息对系统进行快速隔离、清除、加固，以保证客户的网络体系及业务的安全运行。