1. 程式人生 > >SOAR平臺初探(一)

SOAR平臺初探(一)

1.前言

       Security Orchestration, Automation and Response(SOAR)安全編排和自動化響應,是Gartner2017年提出的新概念。Gartner預計到2019年,大概30%的大中型企業會進行SOAR平臺的建設。

 

2.  概述

       目前來說,一般大中型企業都已經建立了相對比較完備的安全運營中心SOC,為什麼又要提出SOAR的概念呢。主要是因為在SOC的運營過程中,面臨以下的一些問題:

  • 大量的安全事件,都需要安全分析師的介入,運營成本高,企業需要用更少的錢,來做更多的事。
  • 安全分析師的分析時間,經常被浪費在一些低級別或無關緊要的事件分析上。
  • 傳統的安全響應執行過程,響應時間長,人工介入多,相關處理過程難以定量評估。
  • 人員流動,帶來運營過程的變化和運營質量的變化,比如老人離職,新人進來需要培訓,需要時間和經驗的積累。

       SOAR平臺主要就是解決這些問題,其核心概念主要包括:

  • Orchestration編排

        與過去相比,現在的安全運營中心需要整合大量的系統,運維的複雜度也大大增加,事件的響應與處理需要應對各種各樣的複雜的情況。要滿足這些需求,必然需要的提供豐富的事件響應與處理編排能力,可以進行流程定製,流程執行,流程監控,結果的驗證與評估,流程再造。

  • Automation自動化

       當前安全分析師在解決安全問題時所需要的資料,分析的方法與過去相比,其工作量和內容都大大增加。資料是海量的資料,大量的資料需要使用自動化方式去處理。既可以節省時間,人力,成本,也避免人在處理大量資料的過程中帶來的誤差或失誤。

  •  合理的KPI評估體系

       系統提供編排與自動化執行能力,也需要對流程和自動化執行的結果進行有效的評估,需要提供合理的評估方法,可量化的評估指標,根據評估結果,才可以進行流程再造,優化我們的編排內容,帶來整個安全運營中心的效率提升。

 

3.SOAR平臺基本功能需求

       針對SOC運營的一些問題,我們可以看出SOAR平臺需要具備的一些基本功能:

       1.系統能夠對接主流的安全管理平臺的管理資料,可以對安全事件進行二次分析和聚合。

       2.具備流程化自動執行功能,能夠依據場景或案例,制定執行計劃和執行指令碼,並具備自動、半自動和手動執行的能力。

       3.對執行效果可以提供合適的KPI進行評估,反饋,在修改的能力。

       4.執行過程能夠整合既有的知識庫,經驗。

       5.和威脅情報對接能力,多協議支援。

       6.可定製的視覺化分析和展現,可以定製Dashboard展現內容。

       7.內容分享,溝通和互動,充分利用微信,郵件等既有溝通平臺,提供反應速度。

 

4.SOARSOC的關係。

       有一部分人認為SOAR的功能是包含在SOC中的,比如現在國內的一些安全廠家,也都在SOC中新增事件處理,調查,響應功能。但是專業的事還是需要專業的軟體來執行,SOAR更偏重於安全分析師所做的工作,側重於過程,比如把對於一封釣魚郵件的分析,通過程式自動化的執行。而且一套好的SOAR平臺,是能夠整合不同廠家的相關產品,不管是SIEM,SOC,還是TI相關產品。SOC產品更偏重於事件的採集,分析與告警,響應在SOC中更多的是手動的的操作。