SOAR还面临着一条很难跨越的鸿沟

围观次数:921 views

如果问当前安全圈儿热点的话,SOAR无疑算是炙手可热的一个。相比当年威胁情报、态势感知的火爆,一点也毫不逊色。

SOAR相关的创新产品、科普知识和媒体宣传铺天盖地,但传达出来都是“积极”、“乐观”的高大上信息,似乎从来没有关于应用SOAR面临的困难与困惑的内容。

这说明SOAR目前只是在试水阶段,而缺乏真正的实践效果。

客观上来讲,安全运营需要向前继续发展,就要有相应的技术创新来进行牵引,向前发展之后应该出现SOAR。而现在是把安全运营向前发展寄托在SOAR上,希望通过SOAR启到牵引作用。

简单来讲就是,SOAR应该是安全运营发展的结果,而不是目标。

基于这个观点,今天随意漫谈一下个人看法,有可能对,也可能不对,请各位看官姑妄听之。不针对任何产品与事件,只是记录一下所思所得,以便过几年再回来,看看自己的理解是否准确。

一、SOAR如何定位?

SOAR最初(2015年)被Gartner定义为安全运营、分析与报告(Security Operations、Analytics、Reporting)。

2017年Gartner对SOAR进行重新定义,变成了现在广为人知的安全编排、自动化与响应(Security Orchestration, Automation and Response)。

按照Gartner的说法,SOAR应该是由安全编排和自动化(SOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。

对比来看,对于安全运营最为关键的安全分析(Analytics)没有单独体现,我猜可能是Gartner认为安全分析(Analytics)应该是SIEM应该做的事情,或者是将安全分析(Analytics)包含在了安全事件响应(SIR)中了。

从SOAR整合要素中含有威胁情报平台(TIP)来看,将安全分析(Analytics)默认包含在了安全事件响应(SIR)中,这种可能性似乎更大一些。

二、这条鸿沟是什么?

安全事件响应(SIR)接受SIEM数据、威胁情报(TIP)数据及其它上下文信息,综合分析判定安全事件(Incident)的影响程度及可能性,并决策是否需要进行处置。

而安全编排和自动化(SOA)只是接收安全事件响应(SIR)的命令,按既定的剧本与安全设备或系统联动,进行自动化的处置。

由此可见,SOAR的核心及难点是安全事件响应(SIR),而不是一直被捧吹的安全编排和自动化(SOA)。

可以说安全事件响应(SIR)是智囊,运筹帷幄帐中、决胜千里之外;安全编排和自动化(SOA)则是作战机要办公室,按既有命令制定并传达作战计划。

那为什么SOAR产品大部分都不太提分析与决策,重点强调编排与自动化响应呢?

因为安全分析与决策,像一道难以跨越的鸿沟,SIEM产品难以解决,SOAR产品也不愿面对。

为什么难以跨越?

抛开产品技术不谈,让我们回到安全分析与决策的实质,面对海量的安全数据,只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。

从风险管理的角度来说,作为海量安全数据的事件(Event)只代表一种客观的状态,初步分析提炼可以加工成需要关注的告警(Alert)。与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。

单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法体现处置的优先级。

告警(Alert)还需要进一步加工聚合,形成体现优先级的风险事件(Incident)。理论上来讲,风险事件(Incident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。

达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的安全事件(Incident)就是需要进行处置的,也就是安全事故(Accident

这条鸿沟为什么难以跨越非常明显,就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。

四、现状及总结

那么,目前业界能做到什么程度呢?普遍的情况是可以分析到告警(Alert)层面,但由于各种原因所致,告警(Alert)的准确率可以达到百分之六十以上,还可能有牺牲检测率的嫌疑。

而安全事件(Incident)的聚合呢,基本上就没有什么太好的效果,更别说自动化的进行安全判定与决策了。

虽然面临着难以跨越的鸿沟,也不是说SOAR就不再需要了,难以跨越并不是不能解决,再说除了安全分析这条线,还有安全事件处置知识库、剧本,以及安全生态、设备联动等方向,还是有很大的发展空间。

2人评论了“SOAR还面临着一条很难跨越的鸿沟”

  1. 跟鹏飞是老同事啦,我们自己这一两年一直在SOAR这个产品上摸索和实践,踏了不少坑,有些认识,可以一起来讨论,哈哈。

    很认同文中这个观点:
    “SOAR的核心及难点是安全事件响应(SIR),而不是一直被捧吹的安全编排和自动化(SOA)”
    SOAR这个品类产品,从技术架构上来讲,我认为可以分为技术平台和安全内容两个层次;技术平台是基础,核心包括集成与编排技术,安全内容是基于技术平台上的应用,应急响应其实只是应用场景之一;我也认为在企业安全运营活动中,凡是可以流程化、标准化的一切工作都是可以在这个平台上实现自动化的。

    还有一个,对于SOAR,我们不要被Gartner所给的定义所束缚,其实在安全编排与自动化出现之前,IT运维领域,网络运维领域,也早就出现编排与自动化技术。OA(编排与自动化)技术不是新技术,SOA是OA技术在S(安全)领域的创新应用而已。

    对于SOAR,我既不要神化这项新应用技术,期望其一下子解决所有问题;当然也不要一棍子打死。对于目前在应急响应场景上的应用,目前主要能解决事件告警后安全分析时所需的数据富集问题以及确定问题的自动化处置。这点可以去研究国外的同类产品,比如Demisto(2015年创立,2019年被派拓网络收购,收购后叫XSOAR,)。其本质上还是安全专家知识/经验的固化。对于开放式的问题,这个时候还是需要人来决策。也就是说,当前的SOAR,仍然是在人工决策和自动化之间取得一个合理平衡。
    聚合事件不是SOAR要干的和能干的事情,是SIEM/态势感知要干的。为什么SIEM当前没干好,我认为主要原因是缺少有效的上下文输入信息,包括资产信息、访问关系,业务特征信息等等。
    所以啊,我认为让SOAR干他当前能干的事情,随着相关技术的进步(比如AI),他也许能干的事情就更多。你让小学生去跨越高考的鸿沟,是不是有点揠苗助长呢?

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助