1 SOAR概念介紹

SOAR的概念最初是Gartner在2015年提出的，指的是“Security Operations, Analytics and Reporting Stack”，即“安全運維分析與報告”。

隨著安全技術與市場的演變，SOAR的定義也發(fā)生了變化。近些年，國內外安全廠商將重點都放在未知威脅檢測上，但隨著網(wǎng)絡對抗的日益激烈，單純提升檢測能力已滿足不了需求，客戶需要的是集識別（Identify）、防御（Protect）、檢測（Detect）、響應（Response）和恢復（Recovery）于一體的安全防護系統(tǒng)，即“IPDRR”。在這樣的背景下，2017年Gartner將SOAR重新定義為“Security Orchestration, Automation and Response”，即“安全編排自動化與響應”。

Gartner認為SOAR由三種技術融合而成，包括安全事件響應平臺（SIRP）、安全編排與自動化（SOA）和威脅信息平臺（TIP）。SOAR影響IPDRR的多個環(huán)節(jié)，但主要聚焦在RR（響應和恢復）階段。

總的來說，SOAR 是一系列技術的合集，它能夠幫助企業(yè)和組織收集安全運維團隊檢測到的各種信息，并對這些信息進行事件分析和告警分診。然后在劇本（Playbook）的指引下，利用人機結合的方式幫助安全運維人員定義、排序和驅動標準化的事件響應活動。

2 市場分析與客戶價值

隨著全球安全產業(yè)的發(fā)展，SOAR在市場上逐步走向成熟，SOAR更多是作為一種能力被融入到其他安全產品之中，例如安全運營中心（SOC）、安全信息和事件管理（SIEM）、托管檢測和響應（MDR）等。在迅速成長的MDR中，SOAR就是一個關鍵的要素。而SIEM廠商一直通過收購或自建的方式構建SOAR，以提升對事件的響應能力。獨立的SOAR產品也有一定市場空間，相對于內置的SOAR，客戶更看重其靈活性和中立性。

SOAR的客戶價值體現(xiàn)在以下幾個方面：

● 減輕告警疲勞

根據(jù)Gartner的定義，SOAR是將事件響應、編排與自動化、威脅信息組合在一起的一種解決方案。這些技術都曾經(jīng)以獨立產品的形式提供給客戶，但是過多的單點解決方案帶來了預算和人力上的壓力，工具的復雜性和重復性使告警疲勞進一步加劇，而SOAR通過整合與自動化可以有效減輕告警疲勞。

● 提升響應速度

攻擊在環(huán)境中的進展速度越來越快，所以發(fā)現(xiàn)疑似威脅之后僅僅發(fā)出告警和通知是遠遠不夠的，客戶期望安全服務能夠快速地主動遏制和消減威脅對環(huán)境的破環(huán)，SOAR正是在主動響應和處置方面發(fā)揮了重要作用。

● 提升安全運營效率以及事件閉環(huán)率

通過編排，SOAR將調查取證、處置、通知等多個環(huán)節(jié)整合在一個工作流里，自動化調度運行，減少了運營人員在不同工具之間來回切換的消耗。面對日益增多的威脅，SOAR的自動化能力有助于提升整體安全運營效率。

● 積累安全運營經(jīng)驗

通過劇本編排，可以將威脅處置的過程轉變?yōu)楣ぷ髁鞑⒂涗洷４妫璐藢崿F(xiàn)安全運營經(jīng)驗的積累和固化。案例集是對歷史處置的歸納及特征補充，可供安全專家參考分析。

● 提升整合能力

SOAR能夠把環(huán)境中現(xiàn)存的安全產品整合在一起，實現(xiàn)人機、機機之間的有效協(xié)作。SOAR能夠更充分地使用威脅信息系統(tǒng)，使其發(fā)揮更大的價值。

● 提升需求滿足敏捷度

在硬編碼模式下，客戶新業(yè)務的需求往往要依賴版本升級才能夠實現(xiàn)， 在內部部署（OP）場景下版本迭代周期長，客戶滿意度難以得到保障。而SOAR與生俱來的低代碼編排能力賦予了系統(tǒng)開放性的特征，安全運營團隊很容易就能實現(xiàn)工作流創(chuàng)建和改進，幫助客戶實現(xiàn)需求變化敏捷落地。

此外，SOAR的作用在安全托管服務中體現(xiàn)的尤為明顯，因為它可以顯著提升威脅處置的速度和一致性，從而提升服務級別協(xié)議（SLA）規(guī)定的服務水平。

3 SOAR關鍵能力分析

從功能的角度看，SOAR具有如下核心能力：

告警分類和優(yōu)先級定義：

該功能方便運營團隊聚焦在會對組織產生重大影響或破壞力的威脅告警上，減輕告警疲勞。

案例集管理和協(xié)作：

案例集是對過往響應處置的經(jīng)驗積累，可供安全分析師參考，提升分析效率。結合特征抽取及機器學習等技術可實現(xiàn)劇本自動推薦等高級能力。

編排和自動化：

編排和自動化將不同的安全工具協(xié)調整合在一個流程里并自動化運行，顯著提升了運營效率，降低了威脅對環(huán)境產生的影響。SOAR需要提供直觀的UI工具，用以輕松編排和設計劇本，還需要具有與廣泛已知及未知的安全產品集成的能力，比如防火墻、終端、沙箱、郵件短信網(wǎng)關等等。

威脅信息調查：

威脅信息調查服務通過威脅信息庫為威脅判定提供取證信息，從而提升事件處置的準確率。這個過程可以被編排在工作流中，并根據(jù)取證結果決定后續(xù)的最佳處置方式。

另外，從架構的角度來看，通過冗余和彈性擴容等方式可保障SOAR的高可靠可用性，充分關注編排執(zhí)行的性能，提供完善的權限管理，支持在OP場景和云上流通部署等。

4 SOAR在HiSec Insight中的實踐

HiSec Insight是華為公司推出的安全態(tài)勢感知產品，形態(tài)上接近SIEM類產品。HiSec Insight基于大數(shù)據(jù)平臺，集威脅檢測、威脅阻斷、取證、溯源、響應、處置于一體，助力客戶完成全流程威脅事件閉環(huán)。

HiSec Insight的閉環(huán)能力得益于在2019年產品就集成了自研的SOAR組件。憑借SOAR的引入，HiSec Insight的事件處置周期能夠由天級縮短到分鐘級，平均恢復時間（MTTR）大幅降低，同時事件閉環(huán)率和處置率也得到顯著提升。

另外，HiSec Insight能夠作為連續(xù)兩年入選Gartner MQ象限唯一的中國產品，其中一個因素就是產品包含了響應與編排能力，因此SOAR的重要性不言而喻。

下圖展示了HiSec Insight SOAR的基本架構。

● 數(shù)據(jù)采集

HiSec Insight可以采集鏡像流量和多種格式安全日志，通過預處理加工后，數(shù)據(jù)被發(fā)送到數(shù)據(jù)總線供威脅檢測模塊進行分析。

● 威脅分析

威脅分析引擎通過關聯(lián)分析、人工智能檢測、威脅判定等技術手段發(fā)現(xiàn)威脅事件，并完成事件分類和優(yōu)先級設置。此時如果有就緒的劇本與事件匹配，SOAR便會第一時間介入，按劇本流程啟動對事件的處置。

● 事件管理

在HiSec Insight中事件管理屬于獨立的服務，主要提供事件查詢和管理的能力。在事件管理中，用戶可以選擇特定的聚合事件，以手動的方式選取劇本進行編排處置。

● 編排管理

編排管理包含響應動作配置和劇本配置兩個模塊。

動作配置用于完成對安全工具的App封裝，包括認證方式、訪問憑證、訪問地址等設備配置信息，以及對工具API接口的Action封裝。HiSec Insight預置了大量的安全設備類型（以華為設備為主）和響應動作的配置，也提供了與第三方設備對接的配置能力。

劇本配置提供劇本編輯和劇本管理功能。HiSec Insight SOAR提供了可視化的劇本編輯工具，允許用戶以拖拽的方式完成劇本的創(chuàng)作。工具采用了業(yè)界主流的縱向排版方式，內置了響應動作、過濾、條件判斷、聚合、人工決策、數(shù)據(jù)格式化等多種節(jié)點，并逐漸補充了子流程嵌套、循環(huán)等能力。

通過預置的大量劇本和Action，HiSec Insight將積累的安全經(jīng)驗傳遞給客戶，并為客戶提供“開箱即用”的能力。

● 自動化執(zhí)行

HiSec Insight SOAR提供了自動觸發(fā)和手動觸發(fā)劇本執(zhí)行的兩種方式。自動執(zhí)行劇本通過匹配事件類型的方式觸發(fā)，手動執(zhí)行由用戶選擇適當?shù)膭”具M行事件處置。

劇本運行的過程中，執(zhí)行引擎會調用威脅信息系統(tǒng)進行取證判斷，根據(jù)取證結果決定后續(xù)流程。通過前面的敘述我們可以了解到，編排的關鍵是對不同安全工具的調用，這部分也是通過編排執(zhí)行引擎實現(xiàn)的。HiSec Insight SOAR根據(jù)動作管理的配置完成與各種安全工具、系統(tǒng)和服務的對接，包括用戶的第三方設備。

● 案例管理

劇本執(zhí)行的結果會形成task用以歸檔查看。同一類型事件的task自動匯聚形成案例集，用于輔助安全專家做參考分析。

5 HiSec Insight SOAR的未來展望

支持云上部署已經(jīng)成為SIEM類產品的發(fā)展趨勢，SOAR作為核心組件也將迎來云化改造。為了支撐上云后業(yè)務規(guī)模的動態(tài)增長，SOAR在架構上需要支持平滑擴容等云原生特性。

上云后，SOAR需要具備完整的多租戶能力，包括劇本和聯(lián)動設備的租戶級管理、劇本執(zhí)行記錄和案例的分租戶查看等等。利用云上的威脅信息服務，SOAR調查取證準確率將得到進一步提升，同時威脅信息服務的價值也可以得到更加充分的發(fā)揮。

SOAR在未來會提供完善的三方集成框架，設備或服務將以App插件的形式動態(tài)地集成到SOAR上。由于App封裝了與設備聯(lián)動的復雜邏輯，用戶的配置難度將會大幅降低，SOAR與三方集成的能力也會顯著增強，有利于形成以HiSec Insight為主的生態(tài)環(huán)境。

6 結束語

網(wǎng)絡攻防對抗日趨激烈，客戶環(huán)境時時刻刻都要面對海量攻擊的威脅，唯有提升自動化檢測、響應與恢復能力，才能為客戶提供有效的安全防護，保證核心業(yè)務的平穩(wěn)運行。然而自動化只是一種手段，SOAR也只是一個工具，由工具所承載的安全運營經(jīng)驗才是決定最終落地效果的關鍵。因此從SOAR的角度看，一方面要提供高質量的預置能力，包括預置編排劇本和預置設備配置等，力爭以開箱即用的方式解決客戶現(xiàn)場80%以上的問題。另一方面要增強內功，提升編排靈活性和易用性、執(zhí)行引擎的穩(wěn)定性和效率，同時具備強大的三方集成能力，幫助安全團隊高效地利用工具，通過人機協(xié)同實現(xiàn)高效、智能的安全運營。

參考文獻： Lawson C, Price A. Market guide for security orchestration, automation and response solutions[R]. Technical Report. Gartner, 2022.