1 SOAR的內涵
隨着網絡空間安全對抗的持續升級,當前企業和組織的安全運營工作在人員組織、告警處置、快速響應、知識沉澱、整合協作諸多方面面臨的挑戰越來越突出。為了應對挑戰,順應安全運營未來發展的新趨勢,SOAR(Security Orchestration, Automation and Response,安全編排自動化與響應)應運而生。
Gartner最新將SOAR定義為一種從各種來源獲取輸入,並應用工作流來處理各種安全過程與規程,從而為安全運營人員提供機器協助的解決方案。這些過程和規程可以被編排(通過與其它技術的集成)並自動執行以達成預期結果,譬如分診管理,事件響應,威脅情報,合規性管理和威脅獵捕。
結合業界的定義,以及一年多來的深入實踐,筆者認為,SOAR是一個將安全運營相關的團隊、工具和流程通過編排和自動化技術整合在一起的,有序處理多源數據,持續進行安全告警分診與調查、威脅獵捕、案件處置、事件響應,並最終實現高效、有效安全運營的智能協作系統。
如果用一句話來概述SOAR,可以解讀為:人員是根本、協作是使命、流程是基礎、編排是核心、自動是手段、響應是場景、提效是目標。
人員是根本:SOAR強調以人為本。安全運營工作本質上是由安全運營團隊及其相關干係人的一系列安全運營活動構成的。SOAR的目的是為了使能安全團隊,為他們賦能,而不是取代他們。我們常説網絡安全的本質是對抗,而對抗最終都是人與人之間的攻防。
協作是使命:安全運營過程中面臨各種人、流程和技術之間的碎片。安全運營要取得成效,必須讓團隊、流程和技術協同起來,必須注重團隊協作。SOAR不是取代協作,而是強化協作。
流程是基礎:要實現實戰化、有效化的安全運營,涉及的內容很多。其中,對於SOAR而言,其核心目標就是為了加速安全流程的標準化、自動化、智能化。因此,要想發揮SOAR的核心作用,必先梳理出組織自身的標準安全操作流程和規程。
編排是核心:編排是SOAR的核心和最重要的能力。編排的過程就是將團隊、流程、技術和工具等各種要素以流程為綱整合到一起以服務於安全運營的過程。看一款產品是不是SOAR產品,第一條就是看其是否具備安全運營流程的編排能力。
自動是手段:對SOAR而言,自動化能力,高低決定了安全編排所能發揮的價值大小。一方面,安全編排往往通過自動化的手段來執行,以提升編排的執行效率,通過減少人的參與來降低人為錯誤因素的影響。另一方面,自動化是手段,不是目標,不要唯自動化。
響應是場景:安全編排與自動化適用於安全運營防禦、檢測和響應的各個環節,並不限於響應。但由於現階段人們對於響應工作的重視,以及響應環節在安全運營工作中相對薄弱,SOAR首要的應用場景是響應。
提效是目標:SOAR的目標是輔助安全運營人員的工作,以數字化可度量的方式提升他們的工作效率,從而提升安全運營的效能,增強安全彈性。
2 SOAR三種能力之間的關係
SOAR從一開始就被打包成多種相對獨立的技術能力的集合體,是一套解決方案。Gartner認為當前主要是三種技術的集合:安全編排與自動化(SOA)、安全事件響應平台(SIRP)、威脅情報平台(TIP)。
隨着SOAR的快速發展,Gartner認為,從歐美市場來看,構成SOAR解決方案的三個部分結合越發緊密,耦合度越來越高,SOAR作為獨立細分市場的地位愈發凸顯。儘管SIRP歷史比SOAR更為悠久,但卻從未進入Gartner的細分市場分析視野。此外,在最新的2020年安全運營炒作曲線中,乾脆去掉了TIP(注意,TIP不是TI服務,是TI服務本地化的一種表現形式),而將其融入SOAR之中。
但筆者認為,SOA、SIRP和TIP依然還是三個相對獨立的領域。與其將SOAR看作是這三者的合集,莫不如將SOAR看作是這三者的交集。事實上,SOA的應用場景遠不止基於威脅情報的安全響應,響應只是SOA的一類應用場景。而TIP也依然有其獨立存在的與SOAR不同的應用場景。
從中國市場來看,筆者認為,由於TIP發展與形成早於SOAR,因而在未來3年TIP依然主要是以松耦合、集成化的方式與SOAR打包成產品組合或者解決方案。獨立的TIP依然存在,而獨立的SOAR可以不包括TIP。
此外,SIRP在中國市場幾乎沒有存在過,而安全管理(SOC)平台產品在事件響應方面的能力過於薄弱,因此,SIRP的主要功能就要靠SOAR來體現了。
在SOAR的三個技術中,最核心的當屬安全編排與自動化(SOA)。因為是SOA塑造出了全新的安全響應,將安全響應工作從“手動擋”升級到了“手自一體”。也是因為SOA,讓威脅情報在客户側有了更加落地的應用場景。如果説當前威脅情報在客户側的落地主要是依靠SIEM,那麼可以預見未來威脅情報與SOAR(或者安全響應)的結合將迅速崛起,成為另一個支柱。
可以説,藉助安全編排與自動化,實現了安全運營工作的飛躍。
必須指出的是,編排與自動化是兩個不同的概念,是兩種緊密相關的技術。他們共同構成了SOAR的核心能力。更進一步,SOAR中的編排是指安全能力的編排化,而SOAR中的自動化則是指安全運營過程的自動化。
3 安全能力編排化
面對層出不窮的安全威脅,企業和組織部署了大量安全設備和系統,並且還在不斷增加。安全運營人員每天都需要跟這些設備和系統,以及其它工具反覆打交道,一個完整的安全運營流程往往涉及到多個設備和系統,需要在這些工具之間來回切換。儘管企業和組織可能已經部署了SIEM、SOC平台或者大數據安全分析平台,能夠在一定程度上集中化地採集和分析安全數據,但在實際環境中,僅僅依靠這類平台也不足以做出分析結論,還需要依據安全流程調用其它工具,獲取其它信息來輔助決策。同時,決策之後的處置環節更是需要聯動網絡中的各種安全防禦機制。可以發現,以數據為中心的集成無法真正整合現有分散的安全工具和技術,無法對它們進行配置、控制和查詢。因此,未來的安全運營還需要一個全新視角的技術集成。
如果將企業和組織的各種安全設備、系統,以及雲端的安全服務和相關運營工具看作一個個安全功能,那麼將企業和組織現有的安全功能轉換成能力並通過編排集成到一起已經成為未來安全運營的重要趨勢。藉助安全編排技術,可以對安全運營流程進行形式化地描述,並映射到安全能力以及安全運營參與者上,促成人與人、人與工具、工具與工具之間的有機協作,同時也促成安全運營流程的知識轉化。我們將這個通過編排集成安全能力的過程稱作“安全能力編排化”。
安全能力編排化(Security Capability Orchestration)是指系統一方面可以通過自底向上地通過安全設施接口化和安全接口應用化實現安全應用編排化;另一方面則自頂向下地將安全運營者的安全運營過程和規程進行形式化落地,實現運營過程的劇本化。最後,藉助運營過程劇本化和安全應用編排化,實現安全能力的集成與編排,併為安全流程的自動化執行奠定基礎。
這裏的安全設施是指安全運營過程中用到的各種技術、機制、工具、系統和服務。安全設施接口化是指這些安全設施對外提供的API。安全設施接口化是SOAR得以落地的重大前提條件。當前,包括安全設施在內的所有應用、系統和服務都在向可編程化邁進。也就是説,現代安全設施不僅提供面向人的GUI(圖形用户接口),也會提供面向機器的API(應用程序接口)。而安全能力編排化最終就是通過這些接口來調用各種能力。
安全接口應用化是指將原生的安全設施接口所代表的功能封裝成應用的過程。
應用(Application)是指企業和組織安全運營過程中需要用到的各種安全設施通過API或GUI暴露出來的功能,經過標準化統一封裝後形成的安全能力,並以服務的方式對外呈現出來。應用執行的最小操作單元是動作,即這個應用中所包含的操作指令。通常,一個應用包括多個動作(Action)。
為了實現應用開發和運行的開放性和一致性,基本上都會基於一個應用集成框架來實現原生安全功能的應用化。這個應用集成框架應該具備開發態和運行態兩種模式。在開發態,應用集成框架應提供完備的支持多語言的SDK,供開發人員進行應用開發。在運行態,能夠導入應用,並將應用集成框架的運行時庫與應用執行引擎綁定起來。
安全應用編排化的核心就是對安全應用中封裝的安全能力進行編排的過程,其核心就是安全編排。
安全編排(Security Orchestration)是將企業和組織在安全運營過程中涉及的不同系統或者一個系統內部不同組件的安全功能通過可編程接口(API)封裝後形成的安全能力(即應用)和人工檢查點按照一定的邏輯關係組合到一起,以完成某個特定的安全運營過程和規程。安全編排是將安全運營相關的工具/技術、流程和人員等各種能力整合到一起的一種協同工作方式。
運營過程劇本化是一個自頂向下將安全運營過程和規程轉換成劇本的過程,其核心產出物就是劇本。
劇本(Playbook)是安全運營流程在安全編排系統中的形式化表述,通常是在編排器中的工作流引擎驅動下執行。編寫劇本的過程就是將安全運營流程和規程轉換為劇本,並在劇本中將各種應用編排到一起的過程,也是將人讀安全運營流程轉換為機讀工作流的過程。
顯然,沒有安全過程和規程,就沒有劇本,安全編排也就將大打折扣。
為了便於編寫劇本,並將應用便捷地編排到一起,可視化劇本編輯器必不可少。以盛華安CyberSky-SOAR為例,系統內置的可視化劇本編輯器允許劇本設計師方便地進行劇本創作。在編寫劇本的時候,可以選擇的元素包括應用動作、API、人工任務、審批、自定義變量、腳本、子劇本、條件分支,等等。管理員可以將這些元素通過鼠標拖拽的方式加入到編輯器中,構成一個圖形化的劇本圖。針對每個元素,管理員都可以進行詳細的設置。
需要進一步指出的是,劇本是分層次的。
最高層劇本:是面向安全運營過程和規程的,也就是面向“安全業務”的,是對過程和規程的業務描述。此時,每個過程節點都是意圖級別的;
中間層劇本:將業務描述劇本轉義為編排引擎可以執行的應用描述後,就成為了中間層劇本,有的稱之為執行劇本(Runbook),也有的(譬如IACD)稱之為工作流(Workflow)。這時候,每個過程節點的意圖都轉義為具體的應用和動作;
最底層劇本:編排引擎在加載中間層劇本後,會變成一個個運行實例,實現了與目標應用系統的綁定。
總之,通過安全能力編排化,真正實現了將不同的設備和系統,以及人員協同聯動起來的使命,就像一個交響樂隊的指揮。
4 安全過程自動化
安全自動化並非新技術,伴隨安全技術的出現,已經存在了許多年。但目前為止,我們更多實現的是某個安全技術和能力的自動化,譬如資產發現自動化、數據採集處理自動化、安全分析自動化,等等。這些安全技術自動化普遍缺乏從安全運營視角的考量。安全運營人員在執行安全運營過程的時候,需要一種面向端到端的全過程自動化能力,將一個安全運營過程中涉及到的多個技術節點自動地銜接起來。
安全運營過程的自動化已經成為了安全自動化領域的熱點,也是未來安全運營的發展趨勢。安全運營過程自動化是建立在當前分散的安全技術自動化基礎之上的,從運營視角出發的,面向端到端的安全運營過程自動化。
安全過程自動化(Security Process Automation)是指安全運營過程與規程儘可能地自動化執行,從而大大提升安全流程的執行效率,節約時間和人力成本,並確保能夠持續達成預期的效果。
安全過程自動化不等於安全編排,編排本身不是自動化。實際上,安全編排得到的任務和劇本指明瞭一系列操作的步驟和下一步走向的判定條件,跟自動化無關,既可以人工執行,也可以自動執行。如果安全編排中的任務和劇本的某些個步驟或者判定條件以自動化的方式執行,則將可以稱作安全劇本執行過程的自動化,屬於安全過程自動化的一種表現形式。在實際應用場景中,幾乎所有安全編排任務和劇本的執行都或多或少地涉及自動化,否則安全編排的價值十分有限。因此,“編排是核心、自動是手段”。
眾所周知,在汽車領域實現L5級別的完全自動駕駛還相當遙遠。同理,在可見的未來要實現安全運營過程的完全自動化也不太可能。
另外,試圖以完全自動化作為安全過程自動化的目標也是危險的,任何否認人在安全運營工作中的決定性作用的觀點都是錯誤的。正所謂“人員是根本”,波音737MAX的事故原因可能就在於過度自動化導致的人工干預失效。在實際應用場景中,安全編排自動化基本都是有人干預的半自動化,相當於“手自一體”。
安全過程自動化是一個安全運營過程中的各個環節逐步自動化的過程。以盛華安CyberSky-SOAR為例,其安全流程自動化體現在以下幾個方面:
1) 自動化告警分診:系統能夠基於一些列預定義的預處理策略、關聯分析策略和合並策略自動化對告警嚴重性和處置優先級進行劃分;
2) 自動化安全響應:針對需要進行調查/響應的告警信息,系統能夠基於預定義的響應策略自動化地執行匹配的劇本和應用動作;
3) 自動化劇本執行:系統所有的劇本都通過編排器進行加載,並在工作流引擎的驅動下自動化的執行;
4) 自動化應用執行:劇本在工作流引擎裏執行過程中如果某個活動需要調用集成化的安全能力,系統會自動激活應用執行引擎,並通過應用集成框架對相關能力進行接口調用,並將返回結果送回工作流引擎;
5) 自動化案件處置:將告警或者相關痕跡物證信息加入案件中後,系統會根據預定義的處置策略自動化地執行匹配的劇本和應用動作;
6) 自動化服務調用:系統對外提供API調用接口,供外部第三方應用系統調用,為它們提供編排、自動化與響應服務。
總之,藉助安全過程自動化,真正提升了安全運營人員的協同工作效率,緩解了重複性勞動的壓力,降低了人為錯誤的概率,減少了安全事件的平均響應時間。
5 結語
安全能力編排化與安全過程自動化是SOAR的核心能力和過程,也是錨定SOAR產品的核心要素。尤其是安全編排技術的出現,將安全運營中心的技術架構從現在面向數據集成的中心化架構演進到未來面向過程集成的去中心化架構,更加貼近安全運營的本質。而自動化技術在安全編排中的運用則將編排的價值加倍放大,加速SOAR的落地生根。