SOAR是什么?

Gartner 在 2017 年年底對 SOAR 重新進行了定義。由于新的技術(shù)與市場逐漸成熟，SOAR 的概念由 SOA(安全自動化與編排)、SIR(安全事件響應(yīng)平臺)與 TIP(威脅情報平臺)三部分組成。從實踐角度來看，通過自動化編排能力與威脅情報能力，實現(xiàn)風險優(yōu)化、檢測、溯源與響應(yīng)的行為閉環(huán)。

根據(jù)安全牛對 Gartner 的總結(jié)，理想的 SOAR 系統(tǒng)應(yīng)該有四方面的能力：

1. 編排能力：將不同的技術(shù)整合在一起進行協(xié)同工作。

2. 自動化能力：讓機器可以像人類一樣處理工作。

3. 事件管理與協(xié)同能力：人與人之間，不同部門/分組之間成員對事件的協(xié)同管理。

4. 儀表板展示能力：將事件、環(huán)境信息以可視化的方式提供給相關(guān)人員。

一年半過去了，SOAR 產(chǎn)品的完善度似乎未達到理想的地步。大部分廠商的產(chǎn)品都在 SOA、SIR 與 TIP 三個領(lǐng)域中的某一個領(lǐng)域深耕，很少有能夠同時提供三個領(lǐng)域能力的廠商。

作為安全界內(nèi)全球大廠 IBM，他們的 SOAR 產(chǎn)品 IBM Resilient 目前在全球已經(jīng)有 200 多個大型客戶在實際應(yīng)用。那么，他們的 SOAR 產(chǎn)品又和 Gartner 所提出的理念有什么改進?

IBM 有個不同的 SOAR?

Gartner 認為的 SOAR 是由 SOA、SIR 與 TIP 三種能力組成，而 IBM 的 Resilient 系統(tǒng)卻是由 SOA、Case Management、與 AI & Human Intelligence 三部分組成。

SOA(安全自動化編排)是 IBM 與 Gartner 提出的理念共有的部分，使得 SOAR 平臺可以統(tǒng)籌安排并自動執(zhí)行事件響應(yīng)的能力，全面應(yīng)對各類復(fù)雜的攻擊。通過整合來自人員、流程和技術(shù)方面的信息，能為分析師提供相關(guān)的信息和工具，幫助分析師快速地做出最恰當?shù)臎Q策。同時，Resilient 借助 IBM 自身擁有全球最大的漏洞通知法規(guī)數(shù)據(jù)庫之一，能夠簡化交付必要漏洞通知的流程。

那么，在基于 IBM 大量的業(yè)界最佳實踐的基礎(chǔ)上，Case Management 與 AI & Human Intelligence 又與 Gartner 提出的 SOAR 理念有什么不同之處呢?

我們很多時候都是將事件作為一個單點來看：當事件發(fā)生后，安全團隊和系統(tǒng)采取某種措施進行響應(yīng)，而在這些環(huán)節(jié)中，似乎人員(安全團隊)、系統(tǒng)(某些安全設(shè)備)、發(fā)生的事件都是作為事件中零散的屬性而存在。但是，事實上，當一個事件發(fā)生時，往往牽涉到了不同的部門(不同的業(yè)務(wù)系統(tǒng))、不同的事件需要不同的流程進行處理等等。如果我們將安全事件以一種更立體的角度來看待：從人員角度，在某種安全事件發(fā)生后，企業(yè)需要誰來進行響應(yīng)，該如何協(xié)同進行工作;從具體行動角度，相關(guān)人員需要采取怎樣的一系列措施;從事后分析角度，企業(yè)在這些安全事件中都分別進行了怎樣的措施，不同角色進行了怎樣的行動。通過從不同的維度進行擴展，將安全事件不作為一個單獨的點進行處理，而是一個有時間、成員、行動等多個因素組成的場景，或者具體的用例——這就是 Case Management 的概念。

Case Management 功能是 Resilient 在事件管理與協(xié)同能力上的體現(xiàn)。通過大量的業(yè)內(nèi)最佳實踐形成的 Knowledge Base，Resilient 可以根據(jù)不同的情形，組織不同團隊、級別之間的成員進行協(xié)同合作，增強不同團隊成員之間的聯(lián)系。另一方面，SOAR 一個很重要的價值在于將 “經(jīng)驗” 留存在團隊中，從而應(yīng)對各類風險。但是，這些經(jīng)驗往往存在于安全人員的大腦之中，但是通過 Case Management 將事件的進程、基于角色的行為等進行記錄，并且將這些信息作為能力融入到工具之中，可以極大彌補因為安全人員不在場、離職等原因造成的安全能力缺失。通過 Case Management，企業(yè)能夠以一種進程化的方式，解決安全響應(yīng)的問題。

當人們都在強調(diào)人工智能的時候，IBM 卻將人工智能和人類智能雙管齊下。正如上文說的，在安全事件中，很多時候需要依靠相關(guān)人員的經(jīng)驗與知識去分析和解決。因此，盡管人工智能可以解決相當一部分的事件，但對于一些攻擊的溯源、對安全狀態(tài)的把握卻依然會需要人類專家來處理。在 IBM Watson 的支持下，企業(yè)可以享受到人類專家?guī)淼慕?jīng)驗與能力，對安全態(tài)勢進行更有效地把控。同時，Watson 可以結(jié)合 IBM X-Force 全球超過 800TB 的威脅情報進行分析，為企業(yè)提供有效的威脅信息。

IBM 的 SOA、Case Management、AI & Human Intelligence 以自己的理解重構(gòu)了 SOAR 的三個組成部分，同時也達成 Gartner 定義中對 SOAR 的四個能力要求。其中，Case Management 也被 Gartner 作為事件管理與協(xié)同能力中的一點提出——但是 IBM 的 Case Management 顯然滿足了 Gartner 對事件管理與協(xié)同能力中所有的要求。事實上，Case Management 對廠商而言是有相當高難度的：Case Management 不只是類似于 playbook 的行為指導(dǎo)，而是基于企業(yè)中不同團隊的協(xié)同，進行場景化、流程化的處理，同時對行為和事件進行記錄，并且基于角色進行安全控制。安全本身不再是安全團隊的單獨行動，而是與系統(tǒng)相關(guān)的人員之間的聯(lián)動。另一方面，威脅情報在于有價值的分析——有經(jīng)驗的人類專家往往能從中發(fā)現(xiàn)當下人工智能無法發(fā)現(xiàn)的蛛絲馬跡，

SOAR還能幫助合規(guī)?

Resilient 從能力上能分為 SOA、Case Management、AI & Human Intelligence，而從組成模組上則分為了安全 (Security)、行動 (Action)、隱私 (Privacy) 三個模組。

值得一提的是隱私模組。安全與行動模組承載了 Resilient 的自動化編排、響應(yīng)等能力，而隱私模組則是 IBM 針對近年來頻發(fā)的數(shù)據(jù)泄露事件以及各種合規(guī)出臺而設(shè)置的。企業(yè)可以根據(jù)自己所在區(qū)域的不同，配置相應(yīng)的合規(guī)模板，一旦發(fā)生隱私事件，SOAR 能夠指導(dǎo)相關(guān)人員開啟隱私事件流程，包括通知相關(guān)機構(gòu)、客戶等。

隱私模組如今已經(jīng)配置了 GDPR、PCI、HIPAA 等多種合規(guī)要求，幫助企業(yè)在全球不同地區(qū)、商業(yè)領(lǐng)域滿足不同的合規(guī)需求。同時，企業(yè)也能根據(jù)自身相關(guān)的合同，進行合同約束的隱私配置。

盡管 Gartner 并未提及合規(guī)在 SOAR 當中的使用，但是顯然合規(guī)與隱私需求也是安全事件中的一環(huán)。IBM 對隱私與合規(guī)的意識走在了前沿，在當下各種合規(guī)要求的出臺情況下顯得尤為重要。企業(yè)自身的安全固然相當重要，但是將相關(guān)安全事件通報受影響人以及相關(guān)機構(gòu)，能從更大范圍上對安全事件進行處理。因此，合規(guī)也尤為重要。

讓我們看看SOAR的實際效果

既然 Resilient 已經(jīng)在全球有 200 多的應(yīng)用客戶，那么他們到底為自己的客戶解決了什么樣的問題?這里有兩家企業(yè)可以供于參考。

法國的一家醫(yī)療保險公司，擁有 2,000 多名員工，在全法國有龐大的運營網(wǎng)絡(luò)，包括近 21,000 家分公司以及 200 多個辦事處，客戶數(shù)超過 130 萬。由于醫(yī)療保險公司本身擁有大量的客戶敏感信息，公司需要在合規(guī)、安全的基礎(chǔ)上，對數(shù)據(jù)進行高效的管理和使用。

該醫(yī)療保險公司本身已經(jīng)使用了 IBM Security 的解決方案，但是為了滿足進一步需求，該公司提升了多個 IBM Security 的相關(guān)組件。另外，該公司從物理形式的 Resilient 軟件解決方案遷移到了 SaaS 解決方案，并且在其安全運營中心 (SOC) 部署，用以管理事件響應(yīng)。

在新的解決方案下，新安裝的 IBM QRadar Network Insight V1901 軟件可以提供更準確的威脅檢測和預(yù)警功能。而新的 Security QRadar SIEM 可以通過實時分析提供更準確的威脅檢測以及優(yōu)先排序功能，從而極大提升了安全平臺的運營效率，提升了公司整體的IT安全管理與事件響應(yīng)能力。另一方面，在 Resilient 的幫助下，公司內(nèi)的所有利益相關(guān)者均可訪問運營解決方案，使得整個公司中的不同又關(guān)聯(lián)的部門可以參與并了解整個安全的情況，增強了企業(yè)內(nèi)的安全協(xié)作情況。

而對于另一家位于英國的大型全球銀行，IBM 幫助他們整合了自身的 SOC 資源。原本該銀行有 12 個孤立的 SOC，因此在面對威脅的時候，存在著情報分散、脫節(jié)，同時又只有支離破碎的可視性等問題。另一方面，SOC 每周只有五天運作，每天只運作 8 小時，使得企業(yè)存在長時間的安全真空狀態(tài)。

IBM 在幫助該銀行制定了端到端的 SOC 轉(zhuǎn)型路線圖，并在其中的一個 SOC 中投入了 IBM Security QRadar SIEM 軟件對銀行面臨的威脅進行優(yōu)先級排序，并進行檢測。在這個基礎(chǔ)上，銀行將 QRadar 軟件推廣到其余的 11 個 SOC，消除了 SOC 的孤立問題，并集成到了全天 24 小時的連貫系統(tǒng)中。最后，銀行部署了 Resilient 平臺，做到了自動執(zhí)行 SOC 工作流程和事件響應(yīng)的過程。

通過將 12 個孤立的 SOC 集成，該銀行終于能通過單一的界面獲得覆蓋全行的可視性，更快速、高效地檢測和響應(yīng)網(wǎng)絡(luò)威脅，降低事件影響。另一方面，在引入 SOAR 的自動化能力后，SOC 的運作時間不再局限于 5*8 的范圍，節(jié)省了成本的同時，也大大減少了安全真空期。

從這兩個案例中，我們可以發(fā)現(xiàn)：越是龐大的企業(yè)越需要 SOAR 來輔助安全運營。SOAR 在實際的 IT 環(huán)境中能將大量的安全能力，包括相關(guān)部門進行整合，從而進行協(xié)作;對于安全能力多而散的大型企業(yè)，以及對安全事件響應(yīng)要求極高的企業(yè)，SOAR 都有極高的安全戰(zhàn)略價值。

安全牛評

SOAR 的概念看似很美好，但在實際落地上卻有相當?shù)碾y度。SOAR 的價值不只是在于自動化的安全能力，不同團隊之間的聯(lián)動也至關(guān)重要。在各種設(shè)備進行聯(lián)動的基礎(chǔ)上，企業(yè)人員是否也能做到協(xié)同聯(lián)動?企業(yè)不同角色之間是否知道自己的安全職責?安全事件發(fā)生時，不同人員該如何配合進行響應(yīng)?一個優(yōu)秀的 SOAR 系統(tǒng)是將人和機器資源進行整合，系統(tǒng)和人都能知道在不同的安全情況下該如何行動，從而快速響應(yīng)、處理威脅，減少損失。