由于企業(yè)的數(shù)字資產(chǎn)攻擊面不斷擴(kuò)大，以及數(shù)字化業(yè)務(wù)資產(chǎn)價值不斷提升，企業(yè)面臨的攻擊威脅也在不斷增加。為了應(yīng)對挑戰(zhàn)，企業(yè)需要進(jìn)一步增強(qiáng)安全運營中心的自動化水平，提高消除安全威脅的速度和敏捷性，同時減輕運營人員的工作壓力。安全編排與自動化響應(yīng)（SOAR）正是幫助企業(yè)實現(xiàn)安全運營自動化的代表性技術(shù)之一。

SOAR的價值與典型應(yīng)用

大量應(yīng)用實踐表明，SOAR可以幫助企業(yè)安全運營中心實現(xiàn)以下方面的能力優(yōu)化：

• 安全能力編排 

SOAR可以幫助安全運營中心實現(xiàn)各種異構(gòu)安全工具的銜接和工作協(xié)同，從而提高獲取威脅、運營監(jiān)控和識別事件的效率。

• 自動化

SOAR可以通過預(yù)定義的參數(shù)自動觸發(fā)工作流程、任務(wù)和警報，幫助企業(yè)安全運營中心實現(xiàn)更積極的主動安全防護(hù)模式。

• 事件響應(yīng)

SOAR可以加快企業(yè)安全運營中心對中、低風(fēng)險事件進(jìn)行通用性和針對性的處置響應(yīng)，并通過統(tǒng)一視圖方式來訪問、查詢和共享威脅情報，為安全分析師提供支持。

從以上三點可以看出，SOAR的應(yīng)用價值在于，可以自動化協(xié)同多個安全工具共同處理常規(guī)性威脅信息和事件，使安全分析師能夠?qū)Ｗ⒂谔幚砀鼜?fù)雜的威脅，并實現(xiàn)對威脅情報的全生命周期支持。如果實施得當(dāng)，SOAR可以成為助力企業(yè)進(jìn)一步夯實安全防護(hù)體系的基礎(chǔ)。

但在最初接觸或使用SOAR產(chǎn)品時，很多企業(yè)都會對SOAR的真實效果產(chǎn)生疑慮。因此，SOAR產(chǎn)品的應(yīng)用可以從一些容易落地的應(yīng)用場景開始，在使用的過程中逐漸打磨產(chǎn)品能力，增強(qiáng)使用信心。以下，研究人員總結(jié)了SOAR在企業(yè)安全運營中的6個典型應(yīng)用：

1、警報信息處理

SOAR平臺每天都會收集到成千上萬個網(wǎng)絡(luò)攻擊指標(biāo)（IOC）。這些指標(biāo)是從內(nèi)外威脅情報源、惡意軟件分析工具、XDR系統(tǒng)、SIEM系統(tǒng)、電子郵件、RSS新聞源、監(jiān)管機(jī)構(gòu)及其他數(shù)據(jù)庫收集而來。通過SOAR平臺的協(xié)調(diào)、匯總和發(fā)掘，可以從海量的警報信息中檢測出真正可疑的IOC。

2、攻擊事件管理

在企業(yè)體系化安全能力構(gòu)建中，會使用多種安全工具來檢測潛在的安全威脅。因此，安全分析師可能需要花費大量時間來分析與同一威脅相關(guān)的不同監(jiān)測數(shù)據(jù)。SOAR可以將來自多個相關(guān)事件、性質(zhì)相同的數(shù)據(jù)匯總起來。這使得安全運營人員能夠識別出最關(guān)鍵的威脅，從而快速處理威脅，縮短威脅檢測和響應(yīng)的總體平均時間。

3、安全漏洞管理

在傳統(tǒng)的安全運營模式中，安全分析師需要人工管理和清點安全漏洞。但是如果通過SOAR技術(shù)，幾項簡單的策略就可以實現(xiàn)漏洞管理自動化，快速處理大量漏洞，并實現(xiàn)漏洞監(jiān)控和快捷響應(yīng)。具體來說，SOAR可以跨多個安全工具將威脅數(shù)據(jù)關(guān)聯(lián)起來，以評估漏洞利用風(fēng)險，并相應(yīng)地確定漏洞威脅的優(yōu)先級。

4、事件響應(yīng)分析強(qiáng)化

SOAR平臺可以利用多個數(shù)據(jù)源或查詢不同的威脅情報工具來獲取威脅上下文，從而加強(qiáng)IOC的事件響應(yīng)分析。這使得SOC分析師能夠更準(zhǔn)確高效地分析、驗證、分類和響應(yīng)。在這種應(yīng)用場景下，SOAR可以幫助安全分析師大大節(jié)省事件響應(yīng)中必須的關(guān)聯(lián)性數(shù)據(jù)檢索時間，從而可以更快速地獲取大量的IP、URL和散列信息以檢查惡意威脅，又不影響所需的查詢深度。

5、威脅搜尋

SOAR平臺還可以作為一種主動搜尋威脅的機(jī)制。對安全分析師來說，搜尋威脅是一項至關(guān)重要的任務(wù)，但考慮到威脅范圍不斷擴(kuò)大，這項任務(wù)很耗費時間。SOAR可以添加用于持續(xù)分析的數(shù)據(jù)集，從而支持大規(guī)模數(shù)據(jù)分析的環(huán)境。此外，SOAR可以廣泛地探測惡意軟件或可疑域名，并在必要時結(jié)合分析師經(jīng)驗共同（human-in-the-loop）決策，幫助擴(kuò)大威脅搜尋范圍。

6、安全事件響應(yīng)

目前主流的SOAR方案已經(jīng)可以有效處理一些常見安全威脅，并準(zhǔn)確做出補救和響應(yīng)，比如網(wǎng)絡(luò)釣魚、惡意軟件、拒絕服務(wù)（DoS）攻擊、網(wǎng)站損毀和勒索軟件。

根據(jù)安全威脅的類型，自動化響應(yīng)有以下常見形式：

• 將指標(biāo)自動添加到監(jiān)視列表；
• 自動阻止惡意指標(biāo)；
• 自動隔離指標(biāo)或受攻擊端點；
• 給基礎(chǔ)設(shè)施硬件/軟件自動打補?。?/li>
• 自動生成工單；
• 自動阻止可疑的電子郵件或IP地址；
• 自動刪除來自其他郵箱的可疑郵件；
• 自動終止或控制用戶賬戶；
• 自動觸發(fā)防病毒掃描或安全合規(guī)檢查；
• 自動提醒特定的安全分析師、供應(yīng)商、合作伙伴或客戶。

SOAR落地應(yīng)用的挑戰(zhàn)

盡管SOAR技術(shù)有巨大的發(fā)展前景，但其理念能否真正兌現(xiàn)仍然充滿挑戰(zhàn)。這與企業(yè)現(xiàn)有的安全運營能力和水平是息息相關(guān)的。研究人員發(fā)現(xiàn)，SOAR在應(yīng)用落地中面對的主要挑戰(zhàn)包括：

挑戰(zhàn)一

安全運營水平還沒有達(dá)到使用SOAR的條件

很多企業(yè)組織的安全運營現(xiàn)狀是，通過IP地址實現(xiàn)對安全設(shè)備和終端的管理，通過對管理員和用戶的賬戶對應(yīng)用進(jìn)行管理，但安全設(shè)備及賬戶對于業(yè)務(wù)應(yīng)用來說，是多對一或多對多的關(guān)系。當(dāng)安全事件發(fā)生以后，必需要依靠對系統(tǒng)和資產(chǎn)熟悉的人員進(jìn)行問題排查。這對于自動化設(shè)備來說，應(yīng)用會存在非常大的挑戰(zhàn)。

挑戰(zhàn)二

SOAR產(chǎn)品使用需要多部門協(xié)同

SOAR的應(yīng)用目標(biāo)是人員、數(shù)據(jù)、流程、工具的高效協(xié)同。但分析企業(yè)目前現(xiàn)狀，業(yè)務(wù)、信息化、安全運營都是獨立的部門，有相應(yīng)的職責(zé)劃分及領(lǐng)導(dǎo)者，實現(xiàn)跨部門的協(xié)同工作不僅僅是簡單的技術(shù)問題，還是管理上的改變。想要打通業(yè)務(wù)與安全，需要從頂層設(shè)計開始改變組織架構(gòu)，而現(xiàn)階段還沒有強(qiáng)有力的因素對此進(jìn)行推動。

挑戰(zhàn)三

企業(yè)沒有清晰的事件處置流程

SOAR將事件的處置過程通過劇本進(jìn)行編排，如果用戶本身對于自身的事件處置流程都不甚清晰，那也就無法使用自動化工具提高效率。只有那些組織管理能力較強(qiáng)，具備正式、成熟安全響應(yīng)流程的企業(yè)，才能夠針對通用威脅建立標(biāo)準(zhǔn)劇本，達(dá)到使用SOAR產(chǎn)品的條件。 

挑戰(zhàn)四

SOAR產(chǎn)品難以實現(xiàn)標(biāo)品化

SOAR產(chǎn)品對比其他的安全產(chǎn)品，如防火墻、IDS等，是不能即插即用的，因為每個用戶部署的安全設(shè)備不同、事件響應(yīng)的流程不同，需根據(jù)用戶實際情況接入數(shù)據(jù)源、設(shè)備，以及更具應(yīng)用需求和場景修改優(yōu)化劇本。

參考鏈接：??https://www.techtarget.com/searchsecurity/tip/Top-6-SOAR-uses-cases-to-implement-in-enterprise-SOCs??