安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带,通过识别威胁、快速分析、精准响应、协同防御,让安全建设中的能力得以施展并提升,已成为现代安全体系中必不可少的环节。
此前的系列文章中,我们主要分享了通过提升感知识别能力,以及加强分析检测能力来建立安全运营体系。想要形成完整的闭环,还需要根据前期的运营分析结果,自动化且智能化地构建并执行最优决策,持续地改善组织的安全态势。这便是本期探讨的主题。
安全响应和处置面临现实挑战
安全运营的核心目标之一是效能与效率,主要体现在两点,一是平均检测时间(Mean Incident Time to Detect,MTTD),安全风险事件从最初被检测到最终确定其有效性所花费的时间,可以反映企业在识别安全事件的真实威胁方面的能力和水平;二是平均响应时间(Mean Incident Time to Response,MTTR),衡量调查和减轻已确认事件所花费的时间,显示了安全运营团队在分析和缓解安全事件的实际威胁方面的能力。因此,安全运营团队作为防御方的本质在于尽可能地降低 MTTD 和 MTTR,让系统更安全地运行,以实现完整的安全运营流程。
放眼国内外,安全厂商们更多的注意力集中在威胁检测上,尤其是高级威胁和未知威胁检测领域。借助这些产品和技术,用户获得了更低的 MTTD,能够更快更准确地检测出攻击和入侵。但是,相关产品工具在帮助用户降低 MTTR方面仍然有所欠缺。事实上,在企业中推动进行更高效和精准的安全响应和处置,还面临着诸多现实挑战:
安全设备单兵作战缺少合力
许多企业目前所处的安全成熟度阶段,是通过IP地址实现对安全设备和终端的管理,通过对管理员和用户的账户对应用进行管理。但安全设备及账户对于业务应用来说,是多对一或多对多的关系。不同厂商的每类设备都依靠不同运维人员单独地维护、监控、处置,无法形成合力,缺少将团队、工具和流程高度协同起来的机制和落地工具。
跨部门协同存在技术与管理障碍
进一步将视角立于企业高度,其业务、IT和安全往往是各自独立的部门,对应相应的权责划分和组织体系。但安全事件的处置涉及到多部门之间的联动,依靠人工辅以邮件等协同办公工具,难以将繁杂的安全运行过程梳理为任务和剧本进行统一且自动地编排,时间长效率低,这不仅需要技术上的支撑,也需要管理上的改变。
缺乏清晰的风险处置标准和流程
对比传统的防火墙、IDS等即插即用的安全设备,安全事件处置和风险响应机制的设计,以及相关系统的部署,需要根据用户实际情况接入数据源、设备,以及根据应用需求和场景修改优化剧本。但目前用户本身对于自身的事件处置流程不甚清晰,技能水平受困于重复性劳动难以提升,而优秀的安全专家经验也难以形成标准化的流程和动作,使用自动化工具提高效率容易成为空中楼阁。
SOAR开启高阶的自动化能力和决策能力
所谓优化决策响应能力,正是为了解决上述痛点,核心目标在于对系统以往发生和正在发生的事件进行分析的基础上,对系统未来和当下事件变化规律做出最优判定。
具体可分为自动化能力和决策能力,前者需要通过平台将基于规则和阈值的重复性工作进行固化,自动地完成繁琐的工作。在安全方面,可自动化地校验告警流程的有效性,确保及时、有效、全面地发现风险;可将人工分析研判的经验自动化留存和重放;可将处置能力进行应用集成,将研判结果对接处置设备,实现自动处置。
后者主要指系统可结合事件的各种因素,如内外部环境、目标系统重要性、攻击手段等,自动进行整体考虑和分析,通过机器学习等技术不断学习历史数据特征,挖掘更多的潜在规律,提高决策水平和响应速度,甚至具有一定的人工智能思维能力,从而做出更优决策。
SOAR(Security Orchestration, Automation and Response)的出现和应用为我们提供了方向, Gartner将其定义为一种从各种来源获取输入,并应用工作流来处理各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案。目前认知的SOAR可汇聚多源安全数据,通过剧本编排的手段自动化执行多种安全响应流程,从而大大降低安全事件MTTR。采取的技术需要服务于以下三个目标:
安全能力编排:编排体现的是一种协调和决策的能力,帮助安全运营中心实现各种异构安全工具的衔接和工作协同,针对不同的安全事件,通过编排将分析过程中各种复杂性分析流程和处理平台进行组合。映射到安全能力以及安全运营参与者上,形成人与人、人与工具、工具与工具之间的有机协作,将复杂的过程或任务转化为一致的、可重复的、可度量的有效工作流程,从而提高获取威胁、运营监控和识别事件的效率;
自动化:特定的安全事件有特定的处理流程,面对需要处理的安全事件能够根据策略自动选择编排的剧本、自动执行剧本的操作流程、根据决策结果自动联动设备进行防护阻断等行动策略。大量的事件通过自动化方式去处理,既可以节省时间、人力、成本,也避免人在处理大量数据的过程中带来的误差或失误,极大降低重复性工作带来的影响,帮助安全运营中心实现更积极主动的安全防护模式;
事件响应:自动收集安全设备的安全告警,集中查看安全事件证据,集中管理安全事件处理进度并完成闭环,可包括告警管理、工单管理、案件管理等多层次的功能。通过前面的编排与自动化,针对需要进行响应的安全事件,系统能够基于预定义的响应策略自动化地执行匹配的剧本和应用动作,可以加快安全运营中心对不同等级风险事件进行通用性和针对性的处置措施。
SOAR产品落地表现
国内自2019年之后,SIEM、态势感知、安管平台类厂商开始朝SOAR靠拢,通过开发更多的适用场景,功能逐渐超越传统管理、运营类平台的范畴;亦有新兴厂商陆续发布独立的SOAR产品,并将其定位为自动化运营平台,加速SOAR逐步从概念落地到实践。
如聚焦于智能安全运营AISecOps的众智维科技,旗下建有RedOps红鲸安全协同响应平台,以自动化、智能化、场景化为核心,面向开放生态的架构支撑,辅以虚拟作战室和AI技术,实现团队、工具和流程的高效整合,改善整体安全解决方案的有效性。
其主要具备六大核心功能:
AI协同作战室,针对处置的安全事件,将特定处理人员引入作战室,组成一个快速响应的作战团队,显著提升安全事件的处置与响应能力;
剧本自动编排,平台实现了运营过程和流程的剧本化,安全应用的编排化,并通过编排器进行剧本和应用的自动化执行,同时实现安全事件的自动响应,事件处置效率达到几十倍的提升;
智能告警处置,对来自企业和组织的各种告警信息进行了智能化告警处置,实现智能告警、分诊、调查、响应为一体,进一步提升了告警响应的及时性和有效性;
案例管理,应用编排与自动化技术,实时交互的ChatOps驱动的作战室技术,实现了团队、工具和流程的融合与协作,对一系列安全事件可快速响应,相关痕迹信息的保留与关联,并通过活动记录对案例处置过程进行复盘、总结;
APP超市,实现了对内外部APP及其动作和实例的统一化管理,内部拥有多种常见的运维工具安装包,支持手动添加和导入导出功能,支持多实例配置,可有效防止因互联网搜索下载引起的挂马、染毒风险;
报告管理,内置报告编辑器,提供编辑报告的素材,实现编写、提交审核、实时调用一体化,让整个工作流程更加便捷。
又如专注于AI和SOAR技术的雾帜智能,自主研发的HoneyGuide智能风险决策系统,通过虚拟作战室、AI机器人和可视化剧本编排,帮助安全团队加速威胁响应与处置,提升运营自动化,实现安全风险自适应治理。
基于SOAR技术,将原本需要人员参与的事件过程升级为安全剧本,包括但不限于自动封禁与解封IP、设备巡检、钓鱼邮件分析以及终端失陷处置等剧本场景,安全剧本通过对事件处置过程中人、机器、系统等参与元素和环节的可视化自组装编排,实现了自动化应急响应,在必要的时候也可以加入人工环节实现人机协同,加速安全应急响应。通过虚拟作战室,安全人员可以开展基于文字、图片和附件等方式的在线沟通协同。通过提供支持自然语言交互的AI机器人,方便安全人员快速调用网内基础安全能力、网络设备、IT系统和SaaS服务等。
鉴于中国网络安全市场主流安全产品缺乏标准化的接口和规范的现状,SOAR与外部系统的交互成为落地的现实挑战。HoneyGuide具有广泛的整合能力,支持调度400+国内外主流安全产品、网络设备、SaaS服务、IT系统,实现安全应急响应过程中的数据查询、动作执行、策略下发等关联操作,积累了300+典型安全剧本场景,通过200+客户生产或概念验证(PoC)环境检验,能够兼容私有云/公有云/容器/分布式等多种应用环境。
尾 声
总而言之,以SOAR为代表的自动化技术已逐渐成为了安全运营的基础性技术,通过把人、流程和工具融合到一起,高效支撑安全运营各个环节。根据Gartner、IDC等调研机构最近的市场报告,我们也发现,SOAR延伸出独立或成为其他产品一部分的市场发展方向。面向大型客户,其通常已经部署了先进的检测产品和运营平台,需要从更全局的角度提供一个统一的控制层,独立的SOAR解决方案成为最佳实践;同时,SIEM、XDR和ITSM等产品的厂商,通过并购、OEM、自研等方式也在不断吸收SOAR的功能,并对其进行不同程度的简化,去应对较低安全运营成熟度的客户。此外,MSS或者MDR提供商倾向将SOAR整合到自身的后端平台中,为客户提供更高效的服务,实现自身的降本增效。