亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

作者：盛華安

SOAR 的產(chǎn)生背景

隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈，網(wǎng)絡(luò)安全單純指望防范和阻止的策略已經(jīng)失效，必須更加注重檢測(cè)與響應(yīng)。企業(yè)和組織要在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集阻止、檢測(cè)、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。

正是在這樣的背景下，在國際上，檢測(cè)和響應(yīng)類產(chǎn)品受到了極大的關(guān)注。放眼國內(nèi)，更多的注意力集中到了新型檢測(cè)產(chǎn)品，尤其是未知威脅檢測(cè)領(lǐng)域。借助這些產(chǎn)品和技術(shù)，用戶獲得了更低的 MTTD（平均檢測(cè)時(shí)間），能夠更快更準(zhǔn)確地檢測(cè)出攻擊和入侵。但是，這些產(chǎn)品和技術(shù)大都沒有幫助用戶降低 MTTR（平均響應(yīng)時(shí)間）。事實(shí)上，對(duì)于用戶而言，更快地檢測(cè)出問題僅僅是第一步，如何快速地對(duì)問題進(jìn)行響應(yīng)更加重要。而在提升安全響應(yīng)效率的時(shí)候，不能僅僅從單點(diǎn)（譬如單純從端點(diǎn)或者網(wǎng)絡(luò)）去考慮，還需要從全網(wǎng)整體安全運(yùn)維的角度去考慮，要將分散的檢測(cè)與響應(yīng)機(jī)制整合起來。而這，正是 SOAR 要解決的問題。

SOAR的演變和定義

SOAR 的全稱是 Security Orchestration, Automation and Response，意即安全編排自動(dòng)化與響應(yīng)。該技術(shù)聚焦安全運(yùn)維領(lǐng)域，重點(diǎn)解決（但不并不限于）安全響應(yīng)的問題，最早由 Gartner 在 2015 年提出。當(dāng)時(shí)，Gartner 將 SOAR 定義為 Security Operations, Analytics, and Reporting（安全運(yùn)維分析與報(bào)告）。隨著安全運(yùn)維技術(shù)的快速發(fā)展與演變，到了 2017 年，Gartner 重新將 SOAR 定義為安全編排自動(dòng)化與響應(yīng)，并將其看作是安全編排與自動(dòng)化 (SOA， Security Orchestration and Automation)、安全事件響應(yīng)平臺(tái) (SIRP, Security Incident Response Platform) 和威脅情報(bào)平臺(tái) (TIP, Threat Intelligence Platform) 三種技術(shù)/工具的融合。Gartner 認(rèn)為，SOAR 技術(shù)仍然在快速演化，內(nèi)涵未來仍可能會(huì)變化，但其圍繞安全運(yùn)維，聚焦安全響應(yīng)的目標(biāo)不會(huì)改變。

Gartner 對(duì) SOAR 的最新描述性定義（摘自 Gartner 報(bào)告《Hype Cycle on Threat-Facing Technologies, 2018》) 是：SOAR 是一系列技術(shù)的合集，它能夠幫助企業(yè)和組織收集安全運(yùn)維團(tuán)隊(duì)監(jiān)控到的各種信息（包括各種安全系統(tǒng)產(chǎn)生的告警），并對(duì)這些信息進(jìn)行事件分析和告警分診。然后在標(biāo)準(zhǔn)工作流程的指引下，利用人機(jī)結(jié)合的方式幫助安全運(yùn)維人員定義、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)。SOAR 工具使得企業(yè)和組織能夠?qū)κ录治雠c響應(yīng)流程進(jìn)行形式化的描述。

目前，SOAR 技術(shù)正處于青春期，位于炒作曲線的上升階段，尚未達(dá)到炒作的頂點(diǎn)。

SOAR的三大核心技術(shù)解析

就目前而言，SOAR 的三大核心技術(shù)能力分別是安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)、威脅情報(bào)平臺(tái)。

1. 安全編排與自動(dòng)化：這是SOAR的核心能力和基本能力

安全編排與安全自動(dòng)化是兩個(gè)不同的概念。其中，安全編排 (Orchestration) 是指將客戶不同的系統(tǒng)或者一個(gè)系統(tǒng)內(nèi)部不同組件的安全能力通過可編程接口 (API) 和人工檢查點(diǎn)，按照一定的邏輯關(guān)系組合到一起，用以完成某個(gè)特定安全操作的過程。譬如用戶針對(duì)一封收到的可疑郵件進(jìn)行深入檢測(cè)與響應(yīng)（操作）的過程可以分解為根據(jù)拆解出來的發(fā)件人、URL 鏈接和 IP 等信息查詢威脅情報(bào)系統(tǒng)，將附件送入沙箱系統(tǒng)進(jìn)行分析，并根據(jù)情報(bào)系統(tǒng)和沙箱系統(tǒng)返回的信息進(jìn)一步?jīng)Q定是否要通知郵件系統(tǒng)刪除該郵件或者附件，是否要通過 EDR 獲取收件人終端上的進(jìn)一步信息做分析，等等。上述這個(gè)可疑郵件分析的過程就是一個(gè)將郵件系統(tǒng)、威脅情報(bào)系統(tǒng)、沙箱系統(tǒng)、EDR 等等系統(tǒng)通過一定的邏輯編排到一起的實(shí)例。

安全自動(dòng)化 (Automation) 在這里特指自動(dòng)化的編排過程，也就是一種特殊的編排。如果編排的過程完全都是依賴各個(gè)相關(guān)系統(tǒng)的 API 實(shí)現(xiàn)的，那么它就是可以自動(dòng)化執(zhí)行的。與自動(dòng)化編排對(duì)應(yīng)的，還有人工編排和部分自動(dòng)化（混合）編排。

不論是自動(dòng)化的編排，還是人工的編排，都可以通過劇本 (playbook) 來進(jìn)行表述。而支撐劇本執(zhí)行的引擎通常是工作流引擎。為了方便管理人員維護(hù)劇本，SOAR 通常還提供一套可視化的劇本編輯器。

劇本是面向編排管理員的，讓其聚焦于編排安全操作的邏輯本身，而隱藏了具體連接各個(gè)系統(tǒng)的編程接口及其指令實(shí)現(xiàn)。SOAR 通常通過應(yīng)用 (App) 和動(dòng)作 (Action) 機(jī)制來實(shí)現(xiàn)可編排指令與實(shí)際系統(tǒng)的對(duì)接。應(yīng)用和動(dòng)作的實(shí)現(xiàn)是面向編排指令開發(fā)者的。

2. 安全事件響應(yīng)平臺(tái)：這是SOAR的關(guān)鍵功能，但也可以獨(dú)立于SOAR存在

安全事件 (Incident) 響應(yīng)平臺(tái)在 SOAR 出現(xiàn)之前就一直存在，顧名思義就是一個(gè)針對(duì) Incident 進(jìn)行響應(yīng)和處置的平臺(tái)。但 SOAR 出現(xiàn)后，安全事件響應(yīng)與安全編排與自動(dòng)化的結(jié)合使得響應(yīng)的能力獲得了極大的提升。通常，安全事件響應(yīng)包括告警管理、工單管理、案件 (Case) 管理等功能。

告警管理的核心不僅是對(duì)告警安全事件的收集、展示和響應(yīng)，更強(qiáng)調(diào)告警分診和告警調(diào)查。只有通過告警分診和告警調(diào)查才能提升告警的質(zhì)量，減少告警的數(shù)量。

工單管理適用于中大型的安全運(yùn)維團(tuán)隊(duì)協(xié)同化、流程化地進(jìn)行告警處置與響應(yīng)，并且確保響應(yīng)過程可記錄、可度量、可考核。

案件管理是現(xiàn)代安全事件響應(yīng)管理的核心能力。案件管理幫助用戶對(duì)一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置，并不斷積累該案件相關(guān)的痕跡物證 (IOC) 和攻擊者的戰(zhàn)技過程指標(biāo)信息 (TTP)。多個(gè)案件并行執(zhí)行，從而持續(xù)化地對(duì)一系列安全事件進(jìn)行追蹤處置。

3. 威脅情報(bào)平臺(tái)：這是SOAR的重要功能，但也可以獨(dú)立于SOAR存在

威脅情報(bào)平臺(tái) (TIP) 是 Gartner 在 2014 年定義的一個(gè)細(xì)分市場(chǎng)，通多對(duì)多源威脅情報(bào)的收集、關(guān)聯(lián)、分類、共享和集成，以及與其它系統(tǒng)的整合，協(xié)助用戶實(shí)現(xiàn)攻擊的阻斷、檢測(cè)和響應(yīng)。威脅情報(bào)主要是以服務(wù)而非平臺(tái)的形式存在。目前 TIP 市場(chǎng)規(guī)模不大，廠商不多，有的是獨(dú)立存在，有的依附于威脅情報(bào)服務(wù)，還有的跟安全響應(yīng)結(jié)合，融合到 SOAR 里面。

通過上面的分析，我們可以發(fā)現(xiàn)，SOAR 作為安全運(yùn)維的綜合響應(yīng)平臺(tái)，具有極強(qiáng)的支撐作用。Gartner 認(rèn)為，現(xiàn)代 SOC (Modern Security Operations Center） 將至少包括現(xiàn)代SIEM （Modern SIEM，即集成了 UEBA 的 SIEM） 和 SOAR。也就是說，SOAR 將作為現(xiàn)代 SOC 中安全運(yùn)維與響應(yīng)的支撐平臺(tái)。Gartner 估計(jì)，到 2021 年，70% 的 SOC 將包括 SOAR 能力。這其中，既可能是 SIEM 附帶的 SOAR，也可能是獨(dú)立 SOAR 平臺(tái)。

通過在 SOC 中實(shí)現(xiàn) SOAR，不僅可以完善 SOC 的安全響應(yīng)的能力，尤其是編排和自動(dòng)化能力，以及響應(yīng)管理能力，并且能在整體上提升 SOC 的效能，包括安全事件調(diào)查分析（含MTTD）的速度、安全響應(yīng) （MTTR） 的速度、將分散的安全系統(tǒng)整合的能力，以及單個(gè)安全運(yùn)維人員的生產(chǎn)率。

SOAR技術(shù)落地實(shí)踐

SOAR 的價(jià)值和作用已經(jīng)相當(dāng)明顯。當(dāng)前，國際上已經(jīng)出現(xiàn)了多家 SOAR 專業(yè)廠商，而不少 SIEM 國際廠商也都推出（收購）了 SOAR 產(chǎn)品和功能。

目前國際上典型的專業(yè) SOAR 廠商基本都是創(chuàng)業(yè)公司，主要包括：CyberSponse、DFLabs、Resolve Systems、Respond Software、Siemplify、Swimlane等。而主要的安全大廠尤其是 SIEM 大廠則紛紛收購 SOAR 公司，并對(duì)其進(jìn)行整合，譬如：IBM 收購 Resilient 與 QRadar 整合，Splunk 收購 Phantom，rapid7 收購 komand，微軟收購 Hexadite，F(xiàn)ireEye 收購 Invotas ，Palo Alto Networks 收購 Demisto，而 SIEM 領(lǐng)先廠商如 LogRhythm、Exabeam、Securonix則紛紛推出了集成版的輕量級(jí)的安全響應(yīng)編排自動(dòng)化組件。

反觀國內(nèi)，尚沒有出現(xiàn)專業(yè)的 SOAR 廠商，也沒有安全管理平臺(tái)廠商正式發(fā)布 SOAR 產(chǎn)品或功能。究其原因，SOAR 能力的獲得并非一朝一夕之功，需要深厚的安全運(yùn)維技術(shù)積累。

正是在這樣的背景下，作為國內(nèi)具備十幾年安全管理與運(yùn)維技術(shù)積累和實(shí)踐經(jīng)驗(yàn)的盛華安創(chuàng)業(yè)技術(shù)團(tuán)隊(duì)，從 4 年前就注意到了 SOAR 技術(shù)，經(jīng)過長期的調(diào)研，以及近 1 年的潛心研發(fā)，于 2019 年 7 月底國內(nèi)率先發(fā)布了 Cybersky-SOAR。

盛華安的 Cybersky-SOAR 主要包括告警管理、案件管理、工單管理、安全編排與自動(dòng)化、威脅情報(bào)應(yīng)用五大功能。

下面通過對(duì) Cybersky-SOAR 的核心功能描述，進(jìn)一步闡釋 SOAR 的技術(shù)特點(diǎn)。

下圖不失一般性地展示了安全告警、案件管理、工單管理和安全編排自動(dòng)化的功能組成及其相互關(guān)系：

告警管理

CyberSky-SOAR 告警管理包括告警分診、告警調(diào)查、告警響應(yīng)和告警庫四個(gè)功能。其中最核心的是告警分診和告警調(diào)查，這也是區(qū)別于傳統(tǒng) SIEM/SOC 平臺(tái)的告警管理功能的關(guān)鍵之處。告警分診一方面能夠自動(dòng)化地聚合告警信息，減少管理員需要查看的告警數(shù)量，同時(shí)還能自動(dòng)地計(jì)算告警的可信度和處置優(yōu)先級(jí)，幫助管理員聚焦關(guān)鍵的告警。告警調(diào)查是指針對(duì)告警信息的補(bǔ)充調(diào)查分析，剔除虛警，并將模糊的、低質(zhì)量的告警變成高質(zhì)量、有價(jià)值的告警的過程。在進(jìn)行告警調(diào)查的時(shí)候，運(yùn)維管理員可以調(diào)用安全編排與自動(dòng)化的劇本或者動(dòng)作，對(duì)告警進(jìn)行增強(qiáng)，并最終通過告警透視獲得對(duì)告警信息全面的可見性，盡可能清晰、精準(zhǔn)地將這個(gè)告警的相關(guān)信息呈現(xiàn)出來，方便管理員進(jìn)行研判。

案件管理

CyberSky-SOAR 案件管理幫助用戶對(duì)一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置。通過案件的流程處理功能，可以為不同性質(zhì)的案件指派不同的案件處理流程，并監(jiān)督執(zhí)行；借助案件的工件 (Artifacts) 管理功能，可以不斷積累該案件相關(guān)的痕跡物證 (IOC) 和攻擊者的戰(zhàn)技過程指標(biāo)信息 (TTP)；而通過編排調(diào)查與響應(yīng)功能，可以對(duì)案件中的任何工件執(zhí)行劇本或者動(dòng)作，拓線追蹤，深挖疑點(diǎn)、豐富案件信息。

下圖展示了 CyberSky-SOAR 的某個(gè)案件管理的界面：

工單管理

CyberSky-SOAR 具備標(biāo)準(zhǔn)的工單管理功能，支持用于突發(fā)性告警響應(yīng)的一次性工單和日常（重復(fù)性）工單。工單流轉(zhuǎn)和處理過程全程記錄。工單管理技術(shù)比較成熟，這里不再贅述。

安全編排與自動(dòng)化

安全編排與自動(dòng)化是 CyberSky-SOAR 的核心功能，實(shí)現(xiàn)了劇本的編輯維護(hù)，以及應(yīng)用和動(dòng)作的管理。安全編排與自動(dòng)化的核心是劇本庫和應(yīng)用庫（動(dòng)作庫）。這些庫可以被安全分析、告警管理和案件管理等功能隨時(shí)調(diào)用。通過該功能，真正實(shí)現(xiàn)了 SOAR 將不同的系統(tǒng)協(xié)同聯(lián)動(dòng)起來的目標(biāo)，就像一個(gè)交響樂對(duì)的指揮。

下圖不失一般性地展示了劇本、應(yīng)用、動(dòng)作和被調(diào)用設(shè)備/系統(tǒng)之間的關(guān)系，以及它們被使用的方式。

下圖展示了 CyberSky-SOAR 的一個(gè)典型的劇本可視化編輯界面：

威脅情報(bào)應(yīng)用

威脅情報(bào)應(yīng)用功能的核心將外部的威脅情報(bào)與用戶自身網(wǎng)絡(luò)中收集到的告警信息進(jìn)行情報(bào)比對(duì)分析和印證。

威脅情報(bào)應(yīng)用既可以用在安全分析的時(shí)候，也可以用在告警調(diào)查、案件管理的時(shí)候。

下圖展示了在案件管理中調(diào)用外部威脅情報(bào)系統(tǒng) (VirusTotal) 動(dòng)作的界面：

Cybersky-SOAR 較為完整地實(shí)現(xiàn)了 Gartner 對(duì) SOAR 定義的核心能力，因而是真正意義上的 SOAR 產(chǎn)品，填補(bǔ)了國內(nèi)產(chǎn)品空白。同時(shí)，盛華安 Cybersky-SOAR 的發(fā)布，也踐行了公司成立之初提出的集數(shù)據(jù)攝取、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)治理、監(jiān)測(cè)分析、指揮調(diào)度與一體的閉環(huán)態(tài)勢(shì)感知與管理技術(shù)架構(gòu)的理念。