2015年,Gartner将SOAR定义为一个平台,该平台利用机器可读的、有意义的安全数据来提供报告、分析和管理功能,以支持组织中的安全运营团队。与每一项技术一样,行业需求和灰色地带为创新解决方案铺平了道路。同样,网络安全也在不断发展和攀登阶梯。在本文中,我们将了解什么是SOAR、SOAR的各种组件以及基于SOAR的安全运营解决方案。1.简介保护企业免受网络攻击的责任在于内部安全运营团队。毫无疑问,攻击者正在不断改进和升级他们的工具和技术。此外,他们可以绕过传统的安全控制轻松渗透到业务网络中。从业务角度来看,由于许多员工未能遵循基本的安全措施并最终成为社会工程攻击的受害者,情况进一步恶化。人是网络安全生态中最薄弱的环节,人为失误往往会导致企业安全管控执行效率出现问题。随着攻击的复杂性不断增加,内部安全运营团队的工作并没有变得更容易。要成功缓解安全事件,首先需要对其进行检测。事件的平均检测时间有所减少,但APT的分析过程仍然很长。据调查,金融公司平均需要几十天才能发现一个事件,而一般消费公司可能需要数百天。一旦发现,成功缓解和恢复威胁同样具有挑战性。随着法规/法律要求的增加,合规性负担也成为焦点。为了解决这些问题,企业构建了大量的安全分析工具。但目前的现状是,在工作日的大部分时间里,内部运营团队的时间都浪费在了处理误报上。要有效监控组织的安全,工具和技术是一方面。拥有适当的书面政策和程序以及以最大优化和效率执行它们的能力至关重要。同样,一些组织已经记录并且许多组织只有某些策略,并且他们继续依赖临时应急响应计划。当企业寻找可以从现有工具收集数据并将其显示在集中式仪表板中,同时对生成的警报采取自动操作的解决方案时,SOAR就出现了。Gartner作为安全理论和实践的权威,对SOAR进行了全面的定义。它将SOAR定义为:使组织能够从不同来源收集安全威胁数据和警报的技术,其中可以利用人和机器的联合力量来执行事件分析和分类,以帮助定义、确定优先级和推动基于标准化事件响应活动在标准工作流程上。SOAR工具允许组织以数字工作流格式定义事件分析和响应流程,从而使一系列机器驱动的活动可以自动化。2.SOAR-安全编排响应自动化2.1。安全编排安全编排是一种调整不同安全工具和技术的方法,通过整合多个系统和平台来简化安全流程,增强安全自动化,从而加速事件响应。它有助于将复杂的事件响应流程和任务转变为一致、可重复、可衡量且高效的工作流程。安全编排与人员协作相结合,将人员、流程和技术结合在一起,以提高安全运营团队的整体效率。安全编排主要包括以下几个方面:?做出明智决策和协调整个过程的能力?响应的标准化和自动化?充分考虑风险动态和环境感知。具体来说,就是在一个SOAR平台上,收集各种工具的日志和告警信息,关联分析它们的紧迫性和风险,发起并执行事件响应,同时对整个响应过程进行衡量。例如,向SOC报告了不寻常的外展事件。分析人员会对源主机进行取证,确认主机中是否存在异常进程、服务、病毒文件,从而判断当前主机是否已经被攻破,获取所有取证信息。这些取证过程必须通过分析师人肉才能执行。在SOAR中,边境保护安全系统、沙箱系统、EDR系统等将被集成。一旦平台接收到异常外联事件,业务流程将开始收集各种来源的数据,从统一的角度呈现APT威胁场景。如果SOAR有针对当前APT威胁的自动化处置脚本,它会自动启动适当的事件响应操作。如果没有,分析师将做出最终决定,并根据此响应的结果,将其固化为下一个类似威胁场景的自动响应脚本。自动化处置方式。整个安全运营业务流程通过协调涉及不同底层工具的整个流程,显着减少了上下文切换时间,即在不同工具之间切换所花费的时间。理想情况下,安全编排应该提供与大多数安全供应商的集成。这种集成在数据输入方面应该是双向的,即推送数据和提取数据;功能丰富,即灵活和可定制的API,以利用供应商产品的所有功能。编排必须有一个抽象层,分析师可以使用它来为特定的API创建逻辑和抽象,然后由SOAR工具将其转换为API调用。2.2.自动化,作为编程的一个子集,是指在整个流程或部分流程中,通过更高层次的任务(或称为脚本)来执行大量的任务。内部安全团队可以使用它来提高性能、准确性和采取行动的时间。自动化应指导用户完成一组标准的步骤、决策过程和说明。它必须足够灵活,例如,在关键分析或响应点将人工决策纳入自动化流程。工作流应该在一组预先确定的操作上运行,并提供检查状态、执行和审计的功能。2.3.ResponseSOAR解决方案的第三个组件使其在许多方面比传统安全解决方案更有效。Response处理事件的整个生命周期——警报的生成、验证、自动响应、人工干预、缓解和报告。该组件由多个子组件组成,例如:?警报处理和分类SOAR从各种安全工具中收集数据并将其显示在集中的仪表板中,供内部安全团队评估生成的警报。大多数这些警报都由SOAR解决方案自动处理,因为它们要么是通用的,要么在许多情况下是误报。根据收集到的数据,还会对警报的紧急性和严重性进行评级,以便从最关键的警报开始按顺序处理需要人工干预的警报。在整个过程中收集数据以形成证据链,并相应地提供给各种安全分析师和操作人员使用?记录和证据支持以跟踪所采取的行动,无论是自动的还是手动的,以保持必要的问责制。它们还在满足法律/法规要求方面发挥作用。?调查和威胁情报当内部安全团队分析警报时,SOAR工具应该能够在整个过程中存储工件。这些工件有助于按时间顺序展示操作和审计期间的最终决策。来自多个来源的威胁情报数据以及SOAR解决方案提高了识别误报警报的效率。?案例管理和工作流为了快速处理生成的警报,SOAR解决方案应该建议在需要手动或部分手动干预的情况下采取的一组操作。建议包括剧本、API、脚本等。必须提供专注于工作流自动化和策略实施的专用用户界面。3.NSFOCUSSOAR实践3.1.绿盟SOAR:Orchestration3.1.1。开箱即用的集成连接器绿盟科技采用自主研发的SecDevOps框架,工程师可以基于标准的插件模板,对来自不同设备厂商的不同数据类型的数据进行接入模型,快速集成并实现在线激活接入插件化,实现数据源的开箱即用能力;同时,工程师可以基于标准的插件模板,对不同设备厂商的不同管控设备的管控模型进行编排,快速集成并完成管控设备插件的在线激活接入,实现管控设备的开箱即用能力。针对威胁场景,基于当前收集到的取证信息,根据威胁的攻击方式、其对应的病毒传播方式、紧急程度等,制定响应策略(包括响应动作、响应动作的紧迫性/优先级),实现response动作安排?对于威胁场景下采取的某种响应动作,根据防护设备的防护策略,进行响应该动作的防护设备的选择过程。相应的剧本执行脚本案例。当威胁发生并发送到SOAR平台时,SOAR引擎会自动调用固化的playbook脚本。根据playbook固化的处理流程和处理优先级,对威胁进行全局阻断和感染。主机移除和受影响主机加固等过程。当未知威胁还没有形成相应的playbook执行脚本时,系统在威胁研判过程中,根据威胁的紧急程度、危险程度和响应优先级(优先级从高到低)逐步形成的威胁证据链:blockingpropagationPath-Clear-Reinforcement)调用微场景通用playbook执行脚本,实现威胁全局阻断、感染主机威胁清除、感染主机加固处理等。微场景通用playbook脚本包括:?全局通用playbook脚本如:block-ip、block-url、ip-isolation等;?受感染主机常用威胁清除playbook,如:kill-process、delete-file、kill-task、disable-service、clear-registor等?受感染主机常用加固playbook,如:disable-service、add-NF-rule等。在基于微场景的通用脚本处理完成并验证无误后,系统可以根据执行的通用剧本,对当前威胁案例进行编排生成固化的剧本。当以后有相同的威胁进入网络时,SOAR会按照处理Level的优先级和紧急程度,依次执行固化的响应脚本。3.2.2playbook自动化生成绿盟科技采用blocklyframework技术,基于图形界面,以所见即所得的方式,以拖拽方式自动生成playbook。大大改进playbook编程流程,减少人为因素导致的playbook脚本编译过程中的错误。3.2.3自动化与人工处理的融合在playbook的自动化执行过程中,提供的playbookSDKAPI支持完整的工作流支持能力。在playbook执行的任何节点,都可以与人工工作流进行交互,有效实现自动化处理,工作流与人工处理的有效结合,保证精准运维。3.3.NSFOCUSSOAR:Response利用NDR/EDR管控响应能力,实现设备自动联动,构建综合响应体系,实现对网络和主机的全面安全和自动化运行能力,包括威胁拦截、可疑访问源阻断、隔离受损主机、威胁消除、未受损主机的加固等3.4。围绕SOAR的自动化响应生态由于绿盟科技采用开放的SecDevOps框架模型,绿盟科技的SOAR平台具有:?快速集成接入任意厂商、任意类型的数据源;?对任何厂商的NDR/EDR设备的快速集成能力。同时,为了支持大量应对已知威胁的第三方playbook,我们在playbookSDK中加入了第三方SDK适配层,可以快速兼容第三方playbook脚本和实现来自不同制造商的跨平台剧本。分享与自动回复在对接第三方NDR/EDR方面,绿盟科技SOAR平台支持OpenC2南向标准接口。在双方遵守Openc2标准的情况下,绿盟科技SOAR平台具备无缝接入NDP/EDR的能力。基于以上开放的设计思路,我们将继续把SOAR平台打造成一个Open-To-Anyone的开放生态系统4.基于SOAR的安全运营4.1.一系列安全监控、分析、响应等技术平台,特别是借助SOAR的自动化和实时响应能力,通过7*24小时的持续运行保障,有效实现网络系统基于有效和实时的加固事前准确预测,事中根据准确分析快速有效拦截阻断;事后根据完整准确的取证信息,快速隔离、清理、加固系统,保障客户网络系统和业务的安全运行。4.2.绿盟科技自动化安全运营联动系统SOAR是自适应安全架构体系的重要组成部分。只有依靠SOAR的编排和自动化响应能力,安全运营才能从应急响应走向持续自动化响应。在绿盟科技整个安全运营体系中,将MDR和SOAR能力与绿盟科技安全态势平台有机融合,实现从监控、分析、研判、智能决策、到安全、安全、安全、安全、安全、安全、安全、安全、高效、安全、高效、安全、高效、安全、高效、安全、高效、安全的全天候安全运营。编排和自动响应自适应连续闭环过程。利用态势平台实现对安全数据的监控和智能分析,利用关联分析、机器学习等技术手段,结合威胁情报,对事件和行为进行识别、推理和智能预测;基于MDR,依托威胁狩猎+主动取证等技术手段,实现事件和行为轨迹取证,收集并确认响应数据。基于SOAR,针对已知威胁,通过策划的playbook脚本实现威胁的闭环自动处置;对于未知威胁,按照MDR分步取证流程,根据威胁的紧急程度等,实现响应行动的优先级,安排响应设备,发布响应行动;依托NDR和EDR的联动响应能力,拦截、阻断、清除安全威胁,最终实现系统加固,杜绝下次被攻破的可能。4.3.绿盟科技安全运营流程案例采用上述安全运营联动体系,绿盟科技不仅保证了安全运营流程的闭环,还保证了安全运营闭环的实时、高效,有效实现了对安全运营的拦截。进程和之后的阻塞、隔离和移除。并在下次攻击前提前做好加固。以下是绿盟科技基于SOAR进行全局阻断、受损主机移除、未受损主机加固的全过程:五、结语引入SOAR概念并逐步发展完善。大大提高安全操作的效率。以上面的挖矿威胁为例,在我们的平台上,威胁的发现和响应动作的完成基本上都在秒级之内。这仅仅是个开始,我们有理由相信,未来几年,SOAR作为自适应安全体系的一部分,将发挥越来越重要的作用。
