已经有一堆安全设备,已经建设了态势感知/SOC,为什么还要上SOAR呢?
回答这个问题之前反过来想想为什么企业做一堆安全建设?
网络威胁衍生出防火墙、WAF、全流量检测等安全产品;
终端威胁衍生出杀毒、HIDS、沙箱等安全产品;
容器威胁衍生出容器安全产品;
数据安全威胁衍生出数据安全相关产品。
随着企业的发展,每新增一种类型的资产时,对应的也新增了一些安全威胁,安全部门也增加了一种安全产品的建设。
以上的建设均是因为企业安全能力的不足而投入的建设。受国家政策的利好,企业安全能力建设突飞猛进。当安全能力建设到达一定程度的时候,安全运营能力也提上日程。安全运营能力建设包含了SOC、SRC等系统的建设,还有很关键的安全设备的运营(必要时刻才出击)。
企业此时将面临的问题包含:
告警爆炸问题
手工处理低效问题
缺乏人员问题
安全攻防对抗日益激烈
安全设备多了,产生的告警也就自然多了
安全厂商能力有限,本身误告很多
部分安全设备内置规则无法依据企业自身情况而定制(亦或定制困难),导致误告过多
昨天的坑还没补完,今天又有新来的
需要去各个地方查看各种日志(或者说是情报)才能对事件进行安全分析
很多可疑事件需要跨部门进行沟通确认,耗时过长
企业的资产类型多,威胁也会存在多样性,对人员素质要求非常高
处理经验缺乏沉淀,接盘困难
安全部门的编制有限,无法招聘足够的人员
回到最开始的问题,为什么要上SOAR?SOAR就是来解决以上问题的,这也是企业安全程度提升时中必然经历的过程。
上面只提到了SOAR解决什么样的问题,并没有给出SOAR的定义。
安全行业的名词层出不穷,笔者并不太想给SOAR一个准确的定义。一堆精铁通过不断的锤炼变成一把刀,你问这把刀是啥?切菜的时候是菜刀,砍树的时候是斧子。。。
虽然无法给出SOAR的明确定义,但是可以说说SOAR要具备的基本能力
联动设备能力
自动化调度能力
剧本编排能力
剧本执行结果审计能力
SOAR还可以衍生或集成很多其它能力,例如作战室、工单、XDR、BAS等。这些衍生的功能不在此文讨论范围,本文仅对其最内核的功能进行讨论。
该能力实际可以分为事件采集能力、安全处置能力、安全策略下发能力、安全检测下发能力、安全数据富化能力。
注意联动的设备可能是安全设备,也可能是数据库、Email等。
事件采集能力,指SOAR可以定时/实时增量采集到设备上指定的日志或者告警等信息,通过聚合、去重后上报至SOAR中成为独立的事件。
在该过程中,可以对事件的数据进行范式化处理。例如反弹Shell的数据,应当包含源IP、目的IP、目的端口、进程信息等。对于任意HIDS的反弹Shell数据都应遵循该标准,这样设备发生变更,剧本不用跟随进行变更。但该能力比较考验开发者业务能力,建议SOAR厂商定义。自建项目不用考虑该问题。
安全处置能力,指SOAR可以联动设备对其中的流程进行处置。
当联动的设备是工单系统或SOC时,SOAR需要对齐流程进行处置操作。该过程实际是通过自动化替代人工处置,提高效率。
安全策略下发能力,指SOAR可以联动设备下发安全策略。
例如WAF黑名单策略,HIDS检测白名单策略等。该过程实际是通过自动化替代人工处置,提高效率。
安全检测下发能力,指SOAR联动设备下发安全检测任务。
例如调用沙箱进行病毒检测,又或调用HIDS进行漏洞检测等。该过程实际是通过自动化替代人工处置,提高效率。
安全数据富化能力,指SOAR联动设备查询信息。某种场景下是内部威胁情报的扩展,但也不泛包含资产信息的查询。
例如:查询HIDS某主机信息,又或主机是否包含xx漏洞信息,又或该主机最近暴力破解信息。
该能力是SOAR的基础,也有很多时候被误认为与自动化脚本一直。(实际没毛病,高级版自动化脚本)
SOAR中的命令执行如何有条不紊,依赖于其自动化调度能力。
自动化调度能力包含手动调用设备命令的执行、剧本的手动执行、事件触发剧本执行、定时触发剧本执行。
该调度应当还考虑跨网域的可用性。有些场景中SOAR与安全设备不可直接连接,需要利用代理进行调度。
当事件的处理流程固化下来以后,形成的数字化流程即是SOAR剧本。
自动化脚本是需求方描述,程序员写入脚本中。而SOAR通过可视化界面,拖拉拽各种安全能力形成完整的流程。
在可视化界面中,允许用户定义各安全能力的输入引用。
为提高剧本的灵活性,剧本编排时应当还支持自定义脚本。
自动化脚本执行全靠日志输出来进行审计,某些时候更像一个黑盒子。
SOAR上应对剧本进行相应的剧本执行结果进行审计,其中包含剧本各个节点的输入输出信息。
该问题导致同一类型的告警相关数据不一致。同时,同一个处置方案,不复用。
解决方案:做好相关标准化的工作
SOAR非常依赖底层厂商的能力。当设备无法对接或者稳定性存在隐患时,SOAR实施过程就非常痛苦。
解决方案:做好爬虫技术对接的备选方案
信誓旦旦的上了SOAR,结果厂商安全能力不足。例如HIDS功能缺失主机查询命令执行功能,这个时候就需要SOAR直接联动主机或者通过跳板机/堡垒机进行查询命令执行。
解决方案:暂无完美方案
想用一下SOAR,结果当前联动设备的能力有限,提需求后还需要开发。开发完毕后,之前的需求也不在强烈,甚至因开发周期过长而放弃使用。
解决方法:尽量避免过度定制设备能力,开放不只是提高使用灵活度和复用度,对于开发侧也是降低业务理解周期。
很多安服同学想,上了SOAR是不是就会干掉当前安全运营同学。SOAR只是提高了工作效率,仍需安全运营的同学对剧本进行持续化的优化。