[安全大会]2020-BCS-企业安全运营实践-2-安全运营之自动编排的探索

=Start=

缘由:

趁着周末整理回顾一下前几天(20200812)观看的「企业安全运营实践论坛」中的几个议题,方便后续学习参考。

正文:

参考解答:

SOAR不是银弹,只是在已有IDR的SOP成熟了之后自然而然的一个演进阶段,SOAR对企业当前的安全基础是有一定要求的,如果一些基础的能力都没建设好,就不要先急着做这个了,但可以借助类似的思考方法帮助自己厘清建设重点和建设节奏。

一、安全事件检测与响应(IDR)的运营困境

作者将没有SOAR之前的IDR运营之困总结成了6点,也分别做了介绍,感兴趣的同学可以自己去看回放,里面包含一些细节。

这里我就按照我自己的想法简单说一下:如果没有类似于SOAR这样的一种集中式安全运营管控平台,容易出现的问题就是——

  • 误报(单一或者碎片化的数据无法支持准确告警,无法有效刻画真实场景)or漏报(如果单一的阈值就有不少告警了,那肯定还有很多异常没有被告警出来);
  • 告警产出严重依赖于运营维护人员的经验和责任心(很难形成有效沉淀以及进一步的优化);
  • 平台不统一、标准就很难统一,就很难进行科学有效的度量以及基于此的迭代优化,还有就是重复建设造成的资源浪费和内部部门墙心态(多方开会容易变成鸡同鸭讲的局面,谁都不懂谁或是谁都不服谁);
  • 集中式的安全大脑最后肯定是要做的,早做不如晚做。

二、安全编排自动化与响应(SOAR)能做什么

在有SOAR之前(或者说不论有没有SOAR),就应该有标准化的事件响应流程SOP,SOAR只是将此流程中能够自动化的动作进行了自动化处理,提高了效率(虽然说看上去只是提高了效率,但有一件事情你也必须要认识到,先要解放双手,才能解放思想,量变引起质变)。

三、贴合甲方实际场景的SOAR建设思路

先要明确定位;还要结合企业部门当前的实际情况和建设目标,最好就是在做某件事情之前先对现状有足够的指标统计,然后再在做的时候有数据做支撑,也更容易说服老板争取到资源和信任。

在已有SOP的基础上小步快跑、迭代运营,用数据做支撑,用先进/合适的方法论做指导,不断拓展能力范围和边界。

参考链接:

企业安全运营实践论坛
https://bcs.qianxin.com/2020/live/index?meeting_id=20

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4932.html

《[安全大会]2020-BCS-企业安全运营实践-2-安全运营之自动编排的探索》上的2个想法

  1. 现代化SOAR的产品化落地(一)
    https://mp.weixin.qq.com/s/E72-K43f-TkLv2WIHqKyKA
    `
    今年Gartner再次更新了SOAR(安全编排自动化响应)的定义,表达出了更高的期待:

    定义6【2020】:SOAR平台是一类为人类安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。这里的团队不限于SIEM操作员或SOC分析师。这里的团队可以包括告警与分诊管理、事件响应人员、威胁情报、合规经理、威胁猎手。

    定义7【2020年,安全运营炒作曲线】:SOAR是一类从各种来源获取输入,并应用工作流来拉通各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果,譬如分诊管理,事件响应,威胁情报,合规性管理和威胁猎捕。(参考1)

    对于SOAR的定义不再只是单一的响应联动,而是寄望于它能够进一步促进SOC(安全运营中心)中人、技术、流程,三位一体的融合,加速PPDR模型中预测、防御、分析检测、响应过程。

    反观SOAR在国内的市场都是不温不火的,归结下主要有几点原因:

    ·国内安全技术从业人员偏少,包括非技术类的整体从业人数也就十几万人(据调查),面对复杂如SOAR的平台也是无从下手;
    ·设备、接口碎片化过于严重,各设备谈不上接口标准化,生态不成熟,自家各盒子产品都不见得能用SOAR串起来;
    ·国内公有云厂商对于SOAR的安全建设多少乏力,公有云本是所有一流安全技术持续落地的优先场景;

    前面两点就足以限制其市场地位,更不用说甲方用户、公有云、威胁情报提供商对它的认知了,所以目前多数安全厂商会选择兼顾市场需求的短平快联动功能进行产品开发,不会把功夫花在Gartner炒作和SOAR的绣花上。

    任何一个新技术的尝试都需要一点点理想主义、加上现实的捶打,SOAR也不例外,面对着告警爆炸、人才/经验短缺、工具过量的痛点,SOAR作为由安全编排与自动化、威胁情报平台和事件响应平台融合而起的新兴安全解决方案,其所追求的人机协同自动化是解决这个痛点的方案之一,它是值得去探索的。

    虽然SOAR平台能够消除现有安全运营流程中执行的单调、重复任务的需求,但是SOAR本身并不能代替人类。SOAR技术可以帮助安全运营人员更快地从决策点a移动到决策点B,但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。

    在SOAR产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此,我们只能将SOAR应用于已经预想可能会发生的并且知道如何响应的安全场景中。

    所以,现代化SOAR除了需要完成【从响应到分析调查的升华,完成SOC效率、MTTR的提升】,还需要【做到知识的留存】等。在实际过程中对接SIEM, XDR, 资产,云端威胁情报等,以Playbook(剧本化)的形式,融合分析人员的知识来驱动下层的自动化编排引擎、作战室协作、案例化管理、威胁情报管理等方式实现一个安全运营体系的升级。
    `

  2. Gartner对SOAR的定义不断变化
    https://mp.weixin.qq.com/s/X0BoaaFG1a-p5xymokC1YQ
    `
    分析Garnter在2020年的SOAR定义,可以发现,明显的变化在于强调了SOAR是一种为人提供机器协助的解决方案。具体可以分为两点:

    1)强调了人在SOAR中的主体地位和作用,以及机器智能、机器自动化的辅助增强作用。从2017年说“人机结合”到2018~2019年不提及,再到2020年重提人的重要性,能够体会到Gartner对于SOAR的认知和定位的厘清过程。也许此时可以称SOAR为SOA for human吧。

    2)SOAR从一种技术升格为一种解决方案。一般地,解决方案是多种技术的组合,用于满足特定的用户需求。

    接下来呢?让我们一起等待Gartner最新一期的SOAR市场指南吧。

    最后,也谈谈笔者对SOAR定义的理解。笔者认为,SOAR应该是这样一个系统:
    1)它是一个智能化的协作安全运营系统;
    2)它面向SecOps团队,以高效的实战化安全运营为目标,为团队赋能;
    3)它能实现人与组织、流程、技术及工具的整合,整合的纽带是“剧本”和“应用”;
    4)编排与自动化是SOAR的核心能力。

    响应是SOAR的一个经典应用场景,但SOAR不限于响应,安全编排与自动化适用于识别、防护、检测、响应、恢复等等各个环节。

    我们一直都在说一个完整的安全运营中心是人、流程和技术的集合体。以SIEM技术为核心的SOC平台或者安管平台一直致力于为SOC的人提供一个技术平台,但却从没有真正将人与技术整合到一起,更不要说流程。人和流程与SOC平台之间始终存在间隙。SOAR则恰好填补了这个空白,以整合人、流程和技术为使命,让我们朝真正的SOC又前进了一步。
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注