2020年BCS北京网络安全大会已经结束。在8月15日晚间的《嘶吼夜话》栏目中,笔者有幸做为国内独立SOAR初创公司表明参加了当晚的一档直播讨论,题为《SOAR如何改变安全运营现状》。一个小时的时间很快就过去了,笔者也将自家的SOAR发布一年多以来实践的感悟跟你们进行了分享。现将直播时交流的主要议题和个人主要观点摘录以下,欢迎你们指正。
编程
一、 SOAR是基于什么需求下产生的,SOAR的发展脉络、市场前景如何。安全
笔者观点:SOAR的产生是实战化安全运营的必然要求。随着热门愈来愈注重安全运营,尤为是但愿真正可以落地运营,提高对抗的能力和效果,安全运营团队(尤为是大型的)基本都面临5个挑战:网络
(1)人少事多:团队人员少,但事情多,压力大,工做负荷高,重保期间更是不堪重负,没法保持持续的工做强度和能力。而稍有松懈,就可能在对抗中前功尽弃。app
(2)告警疲劳:须要处理的告警太多,尽管部署了各类“精准”的检测设备,但须要处置的告警依然不少,处置的过程也很繁琐。运维
(3)响应太慢:千辛万苦定位了问题,遏制、阻断和恢复的处置响应过程十分复杂,须要在不一样的安全工具和系统之间来回切换,审批也不够及时,流程也不清晰。ide
(4)知识流失:安全运营、响应处置的过程主要靠经验,而有经验的运维人员的操做过程都在他们的脑子里,纸面化的操做规程操做性不强,各类经验和处置的过程缺少总结积累和固化,运营知识随着人员的流动而流失。工具
(5)缺少协同:这条是对前面4条的总结,本质上就是由于人与人、人与工具、工具与工具之间缺少有效的协同联动,安全运营工做基本都是碎片化的,我的英雄主义色彩的。spa
从Gartner2015年发明SOAR这个词以来,在2017年进行了从新定义,后来也正不断修订其定义。SOAR是一个快速演变的市场,也是一个受到安全业界普遍关注的市场和技术,在2020年的Gartner炒做曲线中位于炒做的高峰阶段,足见其热门程度。但SOAR目前还处于早期,在国内尤为如此。orm
Gartner将SOAR看作是SOA(安全编排与自动化)、SIRP(安全事件响应平台)和TIP(威胁情报平台)三者的融合性解决方案。笔者认为目前国内SOAR主要有两种形态:(1)跟SOC(安管)平台整合到一块儿,做为SOC平台的一个模块。这时候SOAR功能较为简单,更多为了弥补SOC平台的能力。(2)独立的SOAR产品,可以跟各类第三方SOC平台或其它数据源对接,功能相对完备,更可能是为了弥补用户安全防护体系中响应环节的缺失,是站在安全体系的视角来看SOAR,而不是某个产品的组成部分。blog
此外,目前国内SOAR主要是包括SOA和SIRP两个部分,TIP通常都是经过外接独立TIP系统的方式来实现。
二、 安全编排与自动化塑造出了全新的安全响应,可否具体聊一聊SOAR场景下的安全响应工做与传统方式有何区别。
笔者观点:简单来讲,在上SOAR以前,安全响应的过程是人要频繁的跟各类安全工具/平台/设备打交道,不断登陆各类设备,经过UI界面执行各类操做,反复复制粘贴各类信息,耗时费力,还容易出错。而上了SOAR以后,安全响应人员只要跟SOAR平台打交道便可,简单的操做一键所有执行到位,各种设备的操做切换工做都由SOAR代劳。复杂的操做,人执行起来也很轻松,不用登陆各类设备UI,只须要在SOAR平台操做便可,省时省力,还不容易出错。人能够将本身的精力聚焦到响应决策上,而不是响应所需的信息收集和响应动做执行上,也不用了解各类不一样的安全工具/产品之间的操做差别。
三、 安全响应存在大量的重复和突发性工做,SOAR,或者说编排和自动化,是如何应对复杂、多变的安全响应环境的。
笔者观点:SOAR的核心思想是编排,正是经过这个编排机制,将各类各样的安全功能经过应用封装变成了对用户的安全体系而言有价值的安全能力;再经过编排将这些安全能力、以及人和流程有机的整合到一块儿,以反映安全运营的流程和规程。如此,任何复杂的安全设备及其原生的功能都被功能化、能力化、服务化了,经过编排组合到一块儿去达成安全目标,并具有极强的适应性,以应对复杂多变的安全态势。
此外,自动化在SOAR中不是核心,而是安全编排的实现手段。自动化颇有价值,很重要,但不是必须的,其实也不是万能的。与其期待安全运营的自动化,不如考虑一个手自一体的SOAR平台,即有人参与的、人在回路之上的自动化闭环。
四、 众所周知,网络安全的核心是“人”的对抗,而SOAR剧本化运做的特色,是否是意味着只能解决程式化的安全事件,后期是否存在与AI进一步结合,实现智能进化的空间,以及未来是否有但愿将安全应急响应工做推向彻底的自动化。
笔者观点:的确,在初级阶段,SOAR首先用于解决程式化、固化、重复性的操做过程的编排与自动化,减小人为错误,下降人的操做强度。接下来,SOAR能够应用AI和ML技术,去收集人的各类操做行为和过程信息,给人类运营人员提供操做上的推荐和建议,或者自动产生剧本。但这些推荐和建议,以及自动产生的剧本都仍是须要一我的类确认的环节。能够说,在可见的将来,彻底自动化是不现实的,人机结合是最恰当的选择。
五、针对当前国内的实际,目前在SOAR实际落地中存在哪些技术难点,以及SOAR做为一种相对新兴的安全概念,推广与普及过程当中有哪些阻碍。
笔者观点:目前在SOAR落地这块,主要存在这些问题:
(1)应用开发的问题。咱们说将来全部设备和系统除了提供GUI人类交互界面,必定都会提供API机器交互界面,系统和应用可编程是大势所趋。但在当下,不少安全设备、工具和系统的API都不完善,使得将这些功能封装成应用的过程存在困难。而应用封装不作好,后续的编排和自动化就难以落地。
(2)在应用编排层,也缺少标准,即各类安全能力的操做原语没有统一的规范,OpenC2,SCAP试图作这方面的工做,但都还很初级。不过,这个问题到不影响某个SOAR平台的实现,影响的更可能是不一样SOAR产品之间的互操做性。对于用户而言,若是有这样的规范,则能够进一步将自身的安全体系运行过程的编排与具体厂商的平台解耦。
(3)在实际部署和实施SOAR的时候,部署平台只是其中一部分工做,还要花不少精力放到流程梳理、剧本编写的过程当中。而这本质上不是SOAR自身的问题,更可能是安全运营领域知识和经验的事儿。
六、对将来SOAR的发展趋势有什么展望?
笔者观点:SOAR将来可期。如今人们对于SOAR的价值和意义都毋庸置疑,你们讨论的重点是如何在中国落地,落地的路径是什么?咱们分析,中国的状况跟美国的状况差别较大,SOAR做为通常而言属于中高阶运营成熟度条件下的生产力工具,如何在中国实际安全运营环境下落地,须要有特别的考量,须要厂商、客户一块儿努力。用户必定要认识到,安全编排与自动化是一种能力,是自身应该具有的安全能力,是买不来的,能买到的是平台和工具而已。
最后,附上当时直播的录像连接(https://bcs.qianxin.com/2020/live/index?meeting_id=125),供你们参看。
【参考】