如果问当前安全圈儿热点的话,SOAR无疑算是炙手可热的一个。相比当年威胁情报、态势感知的火爆,一点也毫不逊色。SOAR相关的创新产品、科普知识和媒体宣传铺天盖地,但传达出来都是“积极”、“乐观”的高大上信息,似乎从来没有关于应用SOAR面临的困难与困惑的内容。这说明SOAR目前只是在试水阶段,而缺乏真正的实践效果。客观上来讲,安全运营需要向前继续发展,就要有相应的技术创新来进行牵引,向前发展之后应该出现SOAR。而现在是把安全运营向前发展寄托在SOAR上,希望通过SOAR起到牵引作用。简单来讲就是,SOAR应该是安全运营发展的结果,而不是目标。基于这个观点,今天随意漫谈一下个人看法,有可能对,也可能不对,请各位看官姑妄听之。不针对任何产品与事件,只是记录一下所思所得,以便过几年再回来,看看自己的理解是否准确。
SOAR最初(2015年)被Gartner定义为安全运营、分析与报告(Security Operations、Analytics、Reporting)。
2017年Gartner对SOAR进行重新定义,变成了现在广为人知的安全编排、自动化与响应(Security Orchestration, Automation and Response)。
按照Gartner的说法,SOAR应该是由安全编排和自动化(SOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。
对比来看,对于安全运营最为关键的安全分析(Analytics)没有单独体现,我猜可能是Gartner认为安全分析(Analytics)应该是SIEM应该做的事情,或者是将安全分析(Analytics)包含在了安全事件响应(SIR)中了。
从SOAR整合要素中含有威胁情报平台(TIP)来看,将安全分析(Analytics)默认包含在了安全事件响应(SIR)中,这种可能性似乎更大一些。
安全事件响应(SIR)接受SIEM数据、威胁情报(TIP)数据及其它上下文信息,综合分析判定安全事件(Incident)的影响程度及可能性,并决策是否需要进行处置。而安全编排和自动化(SOA)只是接收安全事件响应(SIR)的命令,按既定的剧本与安全设备或系统联动,进行自动化的处置。由此可见,SOAR的核心及难点是安全事件响应(SIR),而不是一直被捧吹的安全编排和自动化(SOA)。可以说安全事件响应(SIR)是智囊,运筹帷幄帐中、决胜千里之外;安全编排和自动化(SOA)则是作战机要办公室,按既有命令制定并传达作战计划。那为什么SOAR产品大部分都不太提分析与决策,重点强调编排与自动化响应呢?因为安全分析与决策,像一道难以跨越的鸿沟,SIEM产品难以解决,SOAR产品也不愿面对。
抛开产品技术不谈,让我们回到安全分析与决策的实质,面对海量的安全数据,只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。
从风险管理的角度来说,作为海量安全数据的事件(Event)只代表一种客观的状态,初步分析提炼可以加工成需要关注的告警(Alert)。与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法体现处置的优先级。告警(Alert)还需要进一步加工聚合,形成体现优先级的风险事件(Incident)。理论上来讲,风险事件(Incident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的安全事件(Incident)就是需要进行处置的,也就是安全事故(Accident)。这条鸿沟为什么难以跨越非常明显,就是如何聚合以风险为视角的安全事件(Incident),并且判定这些安全事件(Incident)需要如何处置。
那么,目前业界能做到什么程度呢?普遍的情况是可以分析到告警(Alert)层面,但由于各种原因所致,告警(Alert)的准确率可以达到百分之六十以上,还可能有牺牲检测率的嫌疑。
而安全事件(Incident)的聚合呢,基本上就没有什么太好的效果,更别说自动化的进行安全判定与决策了。
虽然面临着难以跨越的鸿沟,也不是说SOAR就不再需要了,难以跨越并不是不能解决,再说除了安全分析这条线,还有安全事件处置知识库、剧本,以及安全生态、设备联动等方向,还是有很大的发展空间。
微言晓意(WeYanXY)专注于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域,兼顾于一切文、史、哲、杂的东拉西扯,同时也会记录一些个人的读书笔记与成长经历。