SOAR类项目的实施工作,可以简单、也可以复杂。这里结合参与调研、实施的项目为例,尝试做个梳理。其中,如有需要进一步扩展,才好说清楚的地方,后面再尝试总结。
影响项目实施的因素有许多,其中项目产品选型、甲方需求场景、乙方实施经验、双方项目人员技术能力、配合程度,五个因素会影响实施时间、实施难度、项目质量、以及后期运营成本,在总结中涉及到上述内容的地方,尝试阐述相关的影响、融入个人的解决办法,从项目实施初期规避风险。
Ps:动笔之前,本来想从SOAR产品部署、对接设备、剧本编排角度总结实施,又怕对大家产生误导,毕竟好的SOAR项目实施,这些只占其中一部分,所以尝试把个人认为必要的部分一起做个小结。
与防火墙、蜜罐、漏扫等传统安全产品实施不同,此类产品实施相对标准化,有相对标准的方式收集需求,然后设备上架加电、参数配置、试运行调优等。SOAR类产品实施,需求沟通类工作相对较多,除了上述实施内容外,主要还包括需求场景逻辑设计、设备对接、剧本编排三部分。
Ps:
1)一个事件处置流程以下称为一个“场景”,每个场景可以通过1个或多个剧本实现。
2)在设备对接工作中,每个设备对接完成会生成一个应用APP。应用APP是各种安全工具、协作工具及其它工具,经过标准化统一封装后形成的安全能力,并以服务的方式对外呈现出来。作用是SOAR系统通过APP向安全设备下发指令。例:终端管理APP,功能是SOAR系统通过终端管理APP,向终端管理系统下发(终端使用人信息查询、终端阻断等)指令。
工作内容:
1)沟通甲方需要解决是哪些实际问题,希望达到效果。有些没有明确说明的内容,需要分析背后原始需求。
2)了解当前问题解决办法、步骤有哪些,涉及到的单位、部门、网络环境、安全设备等
3)基于沟通内容,未来交付过程中可能需要双方配合的内容。
4)乙方做了多少与SOAR相关的项目,有多少独立的SOAR项目,项目规模多大(不只是项目费用规模,还要看项目复杂性、实施周期)。与当前项目行业相关的、场景相似的案例。
注意事项:
该阶段至关重要:
1)SOAR项目不同于准标品交付,前期沟通质量,非常影响后面的实施工作,甚至需要反复修改剧本,甚至重做。
2)会影响到项目实施效果(需求有多丰满,落地有多骨感);
3)会影响到SOAR系统应用范围,是提高安全组事件处置能力、还是给整个部门赋能;
4)决定后续实施方式、及侧重点。如果甲方有技术力量,有意向独立运营soar系统,在项目初期开始,需要乙方带着、指导甲方人员共同完成设备对接、剧本编排工作。避免在项目验收前单纯培训不能具备独立使用SOAR系统能力。
5)对比乙方以往的SOAR项目的情况,可以从整体反映出产品部署、安全编排、响应的特点和不足,以及运营难度。
工作内容:
剧本设计过程,是将安全事件处置预案、经验,梳理成逻辑图,供实施双方确认。甲方确认事件处置逻辑是否正确,乙方确认是否可以实现、以及实现难度。具体的场景设计样例,已在“方案篇”做了阐述,可自行查阅。
注意事项:
从目前接触的项目看,理论上围绕SOAR能力沟通的场景基本都可以实现,只是花费工作量实现和未来消耗多少服务器性能的事情,这个也与SOAR系统选品有关,后续会做简要说明。
工作内容:
1、对接场景逻辑中包含的各类设备、系统、安全能力,如,可以是第三方安全设备、网络设备、自研发设备、自定义脚本等。通常SOAR设备对接都支持Python、JAVA两种开发语言。对接设备的方式有Restful API、SSH/Telnet、SNMP、模拟浏览器等,对接时需要看设备支持哪种,如:微步威胁情报API、天幕支持Restful API,华为交换机、山石防⽕墙支持SSH/Telnet,联软支持Selenium 模拟浏览器。
2、了解待对接设备区别于同类设备的特性、选择最优对接方式。以防火墙为例,不同的墙策略生效方式、策略应用地址组中可以添加的IP数量不同,有的需要重启策略生效,有的保存直接生效;添加IP的地址组,每个地址组有的可以添加大几千甚至上万,有的是大几百。
3、与安全产品厂商人员沟通、确认对接方式细节,在对接设备时出现异常的应对办法。
4、打通SOAR系统与各设备之间的网络策略。
注意事项:
这个阶段工作完成的质量影响到后续剧本编排阶段的完成时间和完成质量。
在第1项中,不同的对接方式,带来的交付、运营工作量不同。从开发难度上看,优先顺序是Restful API、SSH/Telnet、SNMP、模拟浏览器点击。
在第2项中,不同的设备性能,在对接时如果不充分考虑,那么在剧本编排中需要兼容这种特性,增加编排复杂度,也不利于后续甲运营维护。
在第3项中,设备异常多数原因是设备性能、接口双方沟通有遗漏。如果协调、沟通不顺利,可能把计划实现的场景,打折再打折,最后落地一个简化版-_-! 。以在自动化收集安全事件情报为例:情报分散在堡垒机、终端管理、威胁情报、蜜罐等10系统中,本来需要对接10个设备,因各种原因对接了5个设备,那么必然导致信息收集不完善,影响安全人员决策、处置速度。
在第4项中,因为开通网络策略需要协调多人时间进行配合、调试,最好提前开通网络策略,否则会存在大量等待时间,影响后续调试时间。
工作内容:
按剧本逻辑图,编辑、调试剧本、并完成试运行工作。
注意事项:
暂未发现,欢迎有经验的小伙伴分享
实施中每个阶段工作内容,决定了对项目实施人员要求会有不同,为了顺利实施SOAR系统,结合SOAR系统特点,建议项目实施团队人员具备如下特点的:
对甲方要求 | 对乙方要求 | |
场景设计 | 1、了解公司上级单位安全要求;公司内部信息管理要求。 | 1、实施组中,有同行业项目经验,做过标杆客户项目经验的人员最好。 |
设备对接 | 1、能够提供对接设备需要的接口、指令等材料。 | 1、至少现场、后端实施人员,需要同时具备安全从业背景、有开发能力的交付人员。 |
剧本编排 | - | 熟悉自家产品使用的人员即可 |
设备对接阶段 | 剧本编排阶段 | 后期运营阶段 | |
核心功能支撑能力、细节打磨程度 | 影响完成单个设备对接需要的开发时间; | 减少工作量,降低编排难度。 | 支撑能力、功能打磨的越细致越全面,越方便甲方维护,高效使用。 |
已对接设备数量 | 已对接设备越多,投入到每个项目所需的工作量、成本越少 | 缩短该阶段实施工期,减少实施成本 | 对接设备数量越多,越能减少甲方在自动化场景时,在对接工作的人员、成本投入。 |
剧本模版数量 | - | 缩短该阶段实施工期,减少实施成本 | 剧本模版越多,可供甲方参考的经验越丰富,有的剧本少量修改即可直接使用。 |
在目前接触的SOAR产品中,国外的产品在本地技术支持方面感觉相对国内产品弱了些,尤其对国内自研、特色应用支持方面。这里主要说下国内产品,从产品形态上说可以分为“安全运营平台+SOAR”、“独立SOAR产品”。
安全运营平台+SOAR:
1、一体化解决方案:安全运营平台通常集成了多种安全功能,如态势感知、威胁情报、日志管理等,与SOAR模块结合可以实现一站式安全运营管理,全面对接对自家产品线。
2、数据共享与联动:安全运营平台内的各个模块可以共享数据和情报,实现快速响应和联动处置。
独立SOAR产品:
1、产品独立:产品中立,便于实施过程中与各家产品对接。产品公司通常在SOAR产品上自主研发、创新能力强;
2、产品成熟度高:产品功能完善,具备协同作战室、复杂逻辑编排能力、AI能力、自动化、响应。
PS:非常感谢你能看到这里,以上为个人观点,欢迎一起交流讨论,:)
如果你也面临文中提到的问题,可以参考文中的观点。或是有供更好的解决方法,欢迎分享。群策群力,共同进步!