SOAR是什么?
Gartner 在 2017 年年底对 SOAR 重新进行了定义。由于新的技术与市场逐渐成熟,SOAR 的概念由 SOA(安全自动化与编排)、SIR(安全事件响应平台)与 TIP(威胁情报平台)三部分组成。从实践角度来看,通过自动化编排能力与威胁情报能力,实现风险优化、检测、溯源与响应的行为闭环。
根据安全牛对 Gartner 的总结,理想的 SOAR 系统应该有四方面的能力:
编排能力:将不同的技术整合在一起进行协同工作。
自动化能力:让机器可以像人类一样处理工作。
事件管理与协同能力:人与人之间,不同部门/分组之间成员对事件的协同管理。
仪表板展示能力:将事件、环境信息以可视化的方式提供给相关人员。
一年半过去了,SOAR 产品的完善度似乎未达到理想的地步。大部分厂商的产品都在 SOA、SIR 与 TIP 三个领域中的某一个领域深耕,很少有能够同时提供三个领域能力的厂商。
作为安全界内全球大厂 IBM,他们的 SOAR 产品 IBM Resilient 目前在全球已经有 200 多个大型客户在实际应用。那么,他们的 SOAR 产品又和 Gartner 所提出的理念有什么改进?
IBM 有个不同的 SOAR?
Gartner 认为的 SOAR 是由 SOA、SIR 与 TIP 三种能力组成,而 IBM 的 Resilient 系统却是由 SOA、Case Management、与 AI & Human Intelligence 三部分组成。
SOA(安全自动化编排)是 IBM 与 Gartner 提出的理念共有的部分,使得 SOAR 平台可以统筹安排并自动执行事件响应的能力,全面应对各类复杂的攻击。通过整合来自人员、流程和技术方面的信息,能为分析师提供相关的信息和工具,帮助分析师快速地做出最恰当的决策。同时,Resilient 借助 IBM 自身拥有全球最大的漏洞通知法规数据库之一,能够简化交付必要漏洞通知的流程。
那么,在基于 IBM 大量的业界最佳实践的基础上,Case Management 与 AI & Human Intelligence 又与 Gartner 提出的 SOAR 理念有什么不同之处呢?
我们很多时候都是将事件作为一个单点来看:当事件发生后,安全团队和系统采取某种措施进行响应,而在这些环节中,似乎人员(安全团队)、系统(某些安全设备)、发生的事件都是作为事件中零散的属性而存在。但是,事实上,当一个事件发生时,往往牵涉到了不同的部门(不同的业务系统)、不同的事件需要不同的流程进行处理等等。如果我们将安全事件以一种更立体的角度来看待:从人员角度,在某种安全事件发生后,企业需要谁来进行响应,该如何协同进行工作;从具体行动角度,相关人员需要采取怎样的一系列措施;从事后分析角度,企业在这些安全事件中都分别进行了怎样的措施,不同角色进行了怎样的行动。通过从不同的维度进行扩展,将安全事件不作为一个单独的点进行处理,而是一个有时间、成员、行动等多个因素组成的场景,或者具体的用例——这就是 Case Management 的概念。
Case Management 功能是 Resilient 在事件管理与协同能力上的体现。通过大量的业内最佳实践形成的 Knowledge Base,Resilient 可以根据不同的情形,组织不同团队、级别之间的成员进行协同合作,增强不同团队成员之间的联系。另一方面,SOAR 一个很重要的价值在于将 “经验” 留存在团队中,从而应对各类风险。但是,这些经验往往存在于安全人员的大脑之中,但是通过 Case Management 将事件的进程、基于角色的行为等进行记录,并且将这些信息作为能力融入到工具之中,可以极大弥补因为安全人员不在场、离职等原因造成的安全能力缺失。通过 Case Management,企业能够以一种进程化的方式,解决安全响应的问题。
当人们都在强调人工智能的时候,IBM 却将人工智能和人类智能双管齐下。正如上文说的,在安全事件中,很多时候需要依靠相关人员的经验与知识去分析和解决。因此,尽管人工智能可以解决相当一部分的事件,但对于一些攻击的溯源、对安全状态的把握却依然会需要人类专家来处理。在 IBM Watson 的支持下,企业可以享受到人类专家带来的经验与能力,对安全态势进行更有效地把控。同时,Watson 可以结合 IBM X-Force 全球超过 800TB 的威胁情报进行分析,为企业提供有效的威胁信息。
IBM 的 SOA、Case Management、AI & Human Intelligence 以自己的理解重构了 SOAR 的三个组成部分,同时也达成 Gartner 定义中对 SOAR 的四个能力要求。其中,Case Management 也被 Gartner 作为事件管理与协同能力中的一点提出——但是 IBM 的 Case Management 显然满足了 Gartner 对事件管理与协同能力中所有的要求。事实上,Case Management 对厂商而言是有相当高难度的:Case Management 不只是类似于 playbook 的行为指导,而是基于企业中不同团队的协同,进行场景化、流程化的处理,同时对行为和事件进行记录,并且基于角色进行安全控制。安全本身不再是安全团队的单独行动,而是与系统相关的人员之间的联动。另一方面,威胁情报在于有价值的分析——有经验的人类专家往往能从中发现当下人工智能无法发现的蛛丝马迹,
SOAR还能帮助合规?
Resilient 从能力上能分为 SOA、Case Management、AI & Human Intelligence,而从组成模组上则分为了安全 (Security)、行动 (Action)、隐私 (Privacy) 三个模组。
值得一提的是隐私模组。安全与行动模组承载了 Resilient 的自动化编排、响应等能力,而隐私模组则是 IBM 针对近年来频发的数据泄露事件以及各种合规出台而设置的。企业可以根据自己所在区域的不同,配置相应的合规模板,一旦发生隐私事件,SOAR 能够指导相关人员开启隐私事件流程,包括通知相关机构、客户等。
隐私模组如今已经配置了 GDPR、PCI、HIPAA 等多种合规要求,帮助企业在全球不同地区、商业领域满足不同的合规需求。同时,企业也能根据自身相关的合同,进行合同约束的隐私配置。
尽管 Gartner 并未提及合规在 SOAR 当中的使用,但是显然合规与隐私需求也是安全事件中的一环。IBM 对隐私与合规的意识走在了前沿,在当下各种合规要求的出台情况下显得尤为重要。企业自身的安全固然相当重要,但是将相关安全事件通报受影响人以及相关机构,能从更大范围上对安全事件进行处理。因此,合规也尤为重要。
让我们看看SOAR的实际效果
既然 Resilient 已经在全球有 200 多的应用客户,那么他们到底为自己的客户解决了什么样的问题?这里有两家企业可以供于参考。
法国的一家医疗保险公司,拥有 2,000 多名员工,在全法国有庞大的运营网络,包括近 21,000 家分公司以及 200 多个办事处,客户数超过 130 万。由于医疗保险公司本身拥有大量的客户敏感信息,公司需要在合规、安全的基础上,对数据进行高效的管理和使用。
该医疗保险公司本身已经使用了 IBM Security 的解决方案,但是为了满足进一步需求,该公司提升了多个 IBM Security 的相关组件。另外,该公司从物理形式的 Resilient 软件解决方案迁移到了 SaaS 解决方案,并且在其安全运营中心 (SOC) 部署,用以管理事件响应。
在新的解决方案下,新安装的 IBM QRadar Network Insight V1901 软件可以提供更准确的威胁检测和预警功能。而新的 Security QRadar SIEM 可以通过实时分析提供更准确的威胁检测以及优先排序功能,从而极大提升了安全平台的运营效率,提升了公司整体的IT安全管理与事件响应能力。另一方面,在 Resilient 的帮助下,公司内的所有利益相关者均可访问运营解决方案,使得整个公司中的不同又关联的部门可以参与并了解整个安全的情况,增强了企业内的安全协作情况。
而对于另一家位于英国的大型全球银行,IBM 帮助他们整合了自身的 SOC 资源。原本该银行有 12 个孤立的 SOC,因此在面对威胁的时候,存在着情报分散、脱节,同时又只有支离破碎的可视性等问题。另一方面,SOC 每周只有五天运作,每天只运作 8 小时,使得企业存在长时间的安全真空状态。
IBM 在帮助该银行制定了端到端的 SOC 转型路线图,并在其中的一个 SOC 中投入了 IBM Security QRadar SIEM 软件对银行面临的威胁进行优先级排序,并进行检测。在这个基础上,银行将 QRadar 软件推广到其余的 11 个 SOC,消除了 SOC 的孤立问题,并集成到了全天 24 小时的连贯系统中。最后,银行部署了 Resilient 平台,做到了自动执行 SOC 工作流程和事件响应的过程。
通过将 12 个孤立的 SOC 集成,该银行终于能通过单一的界面获得覆盖全行的可视性,更快速、高效地检测和响应网络威胁,降低事件影响。另一方面,在引入 SOAR 的自动化能力后,SOC 的运作时间不再局限于 5*8 的范围,节省了成本的同时,也大大减少了安全真空期。
从这两个案例中,我们可以发现:越是庞大的企业越需要 SOAR 来辅助安全运营。SOAR 在实际的 IT 环境中能将大量的安全能力,包括相关部门进行整合,从而进行协作;对于安全能力多而散的大型企业,以及对安全事件响应要求极高的企业,SOAR 都有极高的安全战略价值。
安全牛评
SOAR 的概念看似很美好,但在实际落地上却有相当的难度。SOAR 的价值不只是在于自动化的安全能力,不同团队之间的联动也至关重要。在各种设备进行联动的基础上,企业人员是否也能做到协同联动?企业不同角色之间是否知道自己的安全职责?安全事件发生时,不同人员该如何配合进行响应?一个优秀的 SOAR 系统是将人和机器资源进行整合,系统和人都能知道在不同的安全情况下该如何行动,从而快速响应、处理威胁,减少损失。