信息化觀察網(wǎng)

一、什么是SOAR？

安全編排與自動(dòng)化響應(yīng)（SOAR）的概念最早在2015年由Gartner提出，旨為一種能夠整合各類安全數(shù)據(jù)，為安全運(yùn)營團(tuán)隊(duì)提供報(bào)告、分析和管理能力的平臺(tái)，主要提供安全事件響應(yīng)、安全編排與自動(dòng)化和威脅與脆弱性管理的運(yùn)營能力。到了2017年，Gartner加入了威脅情報(bào)的管理，完善了企業(yè)對威脅的檢測能力。而時(shí)至2019年，Gartner將安全運(yùn)營中心（SOC）的概念也整合到其中，旨在通過整合SOAR提高運(yùn)營中心的整體效率。

今天的SOAR整合威脅情報(bào)和編排響應(yīng)，形成了安全運(yùn)營中心對威脅的檢測、評估、響應(yīng)和總結(jié)的一體化運(yùn)營體系：

●威脅檢測：威脅信息的匯集與決策；

●擇優(yōu)處置：通過威脅的狩獵、調(diào)查和人工參與，評估威脅優(yōu)先級；

●威脅響應(yīng)：按工作流對威脅進(jìn)行遏制、報(bào)告、恢復(fù)和根除；

●資產(chǎn)排優(yōu)：總結(jié)和分析運(yùn)營效益，重新評估保護(hù)資產(chǎn)的優(yōu)先級。

現(xiàn)在已經(jīng)有越來越多的SOAR廠商通過并購的方式將各類威脅檢測能力和響應(yīng)能力融入其中，也有些廠商正在嘗試將SOAR用在非安全場景下。

二、企業(yè)對SOAR的需求愈演愈烈

隨著黑色產(chǎn)業(yè)的日益成熟，網(wǎng)絡(luò)攻擊也變得日漸商業(yè)化，釣魚即服務(wù)（Phishing-as-a-service）、分布式拒絕服務(wù)攻擊即服務(wù)（DDOS-as-a-service）、勒索軟件即服務(wù)（Ransomware-as-a-service）等黑產(chǎn)服務(wù)的興起降低了網(wǎng)絡(luò)攻擊的門檻，使得越來越多的黑客加入其中。而近些年來，監(jiān)管單位也在不斷提高對企業(yè)的信息安全要求，隨著公安部等保2.0的發(fā)布，以及對攻防演練越來越重視，使企業(yè)的安全團(tuán)隊(duì)面臨著前所未有的挑戰(zhàn)。而大多數(shù)企業(yè)對信息安全方面的投入仍較為匱乏，安全團(tuán)隊(duì)的管理者需要利用極其有限的人才隊(duì)伍，提高運(yùn)營效率，減少運(yùn)營成本。

而安全編排與自動(dòng)化響應(yīng)技術(shù)，可以幫助企業(yè)在安全專業(yè)人員短缺的情況下，整合更多的安全能力，為安全運(yùn)營降本增效。該技術(shù)可以將已有的安全設(shè)備和相關(guān)人員編入劇本，實(shí)現(xiàn)安全事件的自動(dòng)化響應(yīng)和安全運(yùn)維的自動(dòng)化執(zhí)行。這樣，一方面，加快了對安全事件的響應(yīng)速度，幫助安全團(tuán)隊(duì)能夠及時(shí)滿足監(jiān)管單位的報(bào)告要求；另一方面，減少了重復(fù)工作的人員投入，使安全團(tuán)隊(duì)能夠更專注于管理而非運(yùn)營。

三、北信源安全編排與自動(dòng)化響應(yīng)方案

北信源作為國內(nèi)第一批信息安全廠商，憑借20多年安全服務(wù)經(jīng)驗(yàn)，全新打造北信源安全編排與自動(dòng)化響應(yīng)系統(tǒng)（SOAR）安全產(chǎn)品。通過連接企業(yè)各類現(xiàn)有安全設(shè)備、網(wǎng)絡(luò)設(shè)備、辦公軟件、通訊服務(wù)以及相關(guān)人員，緩解企業(yè)安全專業(yè)人才不足、響應(yīng)效率要求高、重復(fù)工作冗雜等問題，幫助安全運(yùn)營團(tuán)隊(duì)實(shí)現(xiàn)安全運(yùn)維自動(dòng)化和事件響應(yīng)自動(dòng)化。

1．多源事件聚合

可對接各類事件檢測設(shè)備，包括但不限于威脅情報(bào)系統(tǒng)（TIP）、防病毒系統(tǒng)（AV）、終端安全檢測與響應(yīng)系統(tǒng)（EDR）、入侵檢測系統(tǒng)（IDS）、身份與訪問安全管理系統(tǒng)（IAM）、安全信息與事件管理系統(tǒng)（SIEM）、態(tài)勢感知系統(tǒng)（CSA）等，將各類安全事件告警統(tǒng)一匯入SOAR系統(tǒng)中，自動(dòng)合并重復(fù)告警，減少管理員需要查看的告警數(shù)量，并自動(dòng)轉(zhuǎn)化為不同等級和類型的案件，幫助管理員聚焦重要的事件告警。

2．第三方能力調(diào)度

可整合各類安全處置設(shè)備，包括各類安全設(shè)備、網(wǎng)絡(luò)設(shè)備、辦公軟件和通訊服務(wù)。當(dāng)處理事件和運(yùn)維任務(wù)時(shí)，在SOAR控制臺(tái)可調(diào)用相關(guān)設(shè)備對威脅進(jìn)行遏制、根除、恢復(fù)，給相關(guān)用戶發(fā)通知，對系統(tǒng)進(jìn)行加固，生成內(nèi)生威脅情報(bào)等，成為企業(yè)安全能力的統(tǒng)一調(diào)度中臺(tái)。

3．跨部門任務(wù)協(xié)作

在安全事件處置過程中，可通過短信、郵件、即時(shí)通訊等方式邀請相關(guān)人員進(jìn)行人工協(xié)作。如某些危險(xiǎn)操作需要請示領(lǐng)導(dǎo)審批，某些信息收集需要人工填報(bào)匯總，某些無法自動(dòng)化處置的任務(wù)需要相關(guān)人員線下處置，實(shí)現(xiàn)跨部門的團(tuán)隊(duì)協(xié)作。

4．運(yùn)維/響應(yīng)自動(dòng)化

內(nèi)置劇本庫，滿足安全運(yùn)營團(tuán)隊(duì)安全運(yùn)維和事件響應(yīng)的通用自動(dòng)化處置需求。運(yùn)營團(tuán)隊(duì)可根據(jù)需要，通過可視化編排，對劇本進(jìn)行剪裁和修改，甚至創(chuàng)建新劇本，以適應(yīng)單位的個(gè)性化需求。對于不同類型的案件，劇本可配置自啟動(dòng)，對安全事件進(jìn)行自動(dòng)調(diào)查、自動(dòng)遏制、自動(dòng)根除、自動(dòng)恢復(fù)，并在劇本執(zhí)行過程中請求人工干涉。劇本支持配置安全場景，滿足用戶在日常、重保、演練等不同場景下不同的自動(dòng)化運(yùn)維和響應(yīng)要求，并可快速在場景間切換。

5．統(tǒng)一案件處理

支持事件響應(yīng)和安全運(yùn)維全生命周期的管理。根據(jù)國家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全事件管理第一部分：事件管理原理》，事件發(fā)現(xiàn)后需要經(jīng)過報(bào)告、評估、決策、響應(yīng)和總結(jié)的步驟。北信源SOAR系統(tǒng)可通過調(diào)用劇本、處置設(shè)備和人工協(xié)作處置案件，滿足事件響應(yīng)各個(gè)階段的處置需求，可對事件展開自動(dòng)化的跟蹤、調(diào)查、狩獵和通知，提高運(yùn)營團(tuán)隊(duì)對安全事件的響應(yīng)效率，減少應(yīng)對事件的平均響應(yīng)時(shí)間（MTTR）。對于日常安全運(yùn)維，也可編輯運(yùn)維劇本，減少運(yùn)維場景下繁瑣的重復(fù)性工作，減輕運(yùn)營團(tuán)隊(duì)的運(yùn)維工作。

6．運(yùn)營成果可視化

可對北信源SOAR系統(tǒng)的運(yùn)營成果進(jìn)行總結(jié)，并以可視化的方式展示并導(dǎo)出?？偨Y(jié)的內(nèi)容包括事件趨勢、響應(yīng)效率、應(yīng)用調(diào)用、人工績效和運(yùn)營成效，使安全部門負(fù)責(zé)人能夠即時(shí)了解運(yùn)營現(xiàn)狀，同時(shí)也為管理者向上級匯報(bào)提供素材。