SOAR技术背后的浮躁

2021年1月4日,躺在官井洋的渔船上,略带咸味的海风吹过,回望曾经的从事网络安全行业,这一年的时间流速感觉比过去都快了许多。新街口胶东海鲜楼安徽老板闷了一口原浆感叹一年又过去了,疫情所带来的焦虑与压抑还会在2021年延续吗?

2020年黑天鹅对各行各业的冲击下网络安全行业却继续保持较高的增速. 国内网络安全从业者在黑天鹅巨大翅膀笼罩下给出了年终总结旁白:“疫情下在线办公、在线教育等线上生产和生活方式日趋主流化，现实世界和数字世界的边界日益模糊，网络攻击等网络安全风险进一步向现实世界渗透。5G、新基建、工业互联网、互联网医疗的飞速发展也使这些领域里网络安全风险激增”。

在这样的一个年份，网络安全行业一支扛着“SOAR”旗帜的队伍四处摇旗呐喊,走街串巷,旗帜上十个镏金大字“安全编排和自动化响应”。所到之处来自拼多X平台产自南方某镇的9.9元高音喇叭持续播放着“安全需要协同，安全需要高效运维，安全需要端到端高速联动、SOAR可以解放运维人员.......” 低音炮的喇叭声响彻田间地头.激动人心.....

过去几年间安全行业热衷Copy来自Gartner&RSA的“热词”及基于"热词"快速映射出一款安全产品,披上PPT走街串巷

SOAR也不例外.自从Gartner在2015年抛出InnovationTech Insight for Security Operations, Analytics and Reporting定义之后,安全江湖便闻风而动,田间、地头、山洞、高山雪原各门各派揭竿而起,大师兄二师弟组队修炼誓要练成此门绝学。各门各派前仆后继迎来东日送走余晖饱经风霜历经二年苦练技艺,期间若干门派走火入魔相继倒下,大师Gartner见此情形反思数日,看日月梳五行,不日便调整拳谱重新定义Security Orchestration, Automation and Response,快马加鞭公告天下。

以D师兄和他小师弟为首的Demisto练就了此番绝技便呼啸于武林,而后每年RSA网络武林大会大师兄二师弟便立旗亮相含情脉脉互相观望。SOAR门派众多如LogRhythm、Splunk、Rapid7、FireEye、ThreatConnect、Ayehu、Swimlane、DFLabs、Cyberbit、Siemplify、ServiceNow、D3 Security各门各派弑杀于江湖。

大师Gartner在SOAR拳谱中寥寥几句讲述了关于Security Orchestration, Automation and Response并谈及了SOA、SIR、TIP。 大师Gartner的SOAR拳谱漂洋过海传到了东方,中原江湖历经数年一群眉清目秀、骨骼精奇、气质独特、头冒灵气的青年才俊总结出了8个镏金汉字:防护、检测、响应、预测,瞬间席卷中原武林。练就SOAR奇拳的青年才俊四处宣扬如何围绕威胁进行有效安全协调，如何从威胁出发基于企业侧安全能力的编排和自动化响应及处置。

张家村的张员外被陈家沟黑风寨山贼刀疤脸困扰许久,听说SOAR奇拳,就派王管家请来了这些练就SOAR奇拳的青年才俊,张员外交代完情况,便想让这些青年才俊帮忙了却困挠十日的此事。练就SOAR奇拳的青年才俊便握起拳头面向张员外问道:我的拳头大把,一拳能打死一头牛。张员外眯着眼睛,捋着小胡子连连称奇。不料才俊问到我是打先打刀疤脸肚子还是先打脑袋? 才俊补充道我提供铁拳您负责拉着我的手出拳。张员外惊奇的望着才俊......

抛开高大尚的"热词",安全运营工作本质是围绕漏洞及攻击的发现、分析核实、修复加固。

问题来了,SOAR所能给客户的价值假设到底是啥？或者众多的SOAR厂商给客户传递的SOAR价值所能引起客户共鸣的描述性假设是啥？

网络安全运营工作往往是在某些安全产品之上展开安全运营工作如EDR或NDR,此类安全产品发现威胁之后,安全分析师介入调查分析。企业安全运营工作的负担往往是在安全设备产生的大量威胁告警,需要逐个的调查分析,若威胁告警数量达到上百个之后,可以说之后的威胁分析工作已经无法进行了,要不按照类型一键忽略或就不管了。

作为SOAR要摆正自身的定位,少谈自动化处置,踏实做好告警核实,攻击事件Incident提取,辅助决策

告警核实

告警多,误报高,是目前网络安全设备的普遍现象,记得一次和离开安全圈的朋友喝酒,朋友调侃到某客户戏言他家产品没有告警挺好的,我立刻举杯和他走了一个.....。这其中的笑点与无奈列为自己细品。

笔者认为SOAR产品首要能力要求是做好告警的分析核实,没有内置威胁分析核实能力的SOAR在解决问题能力上必死无疑(你要说依靠商务关系好能签单，我也不反驳)。而且这个安全分析能力不是建立在用户现场的临时编排和由用户自定义,必须是SOAR内置不同威胁类型的核实剧本，换句话说SOAR的成功需建立在一定的攻防技术沉淀。目前大多数的SOAR厂商给用户提供的都是剧本编排能力和大量的联动设备能力,就好比说嘿哥们，我们提供框架你在上面加东西吧，我们接口很友好的，可以直接拖拽布局的，加油哦！

记得2017年那会，永恒之蓝在国内爆发,国内某企业安装的一款安全产品上报了一条永恒之蓝告警,客户紧张的找到目标主机并断电打包寄到北京，事后经过分析发现是一员工在浏览器上好奇的输入了那个经典的万米长的域名触发的告警。

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

未经核实的告警试问各家SOAR厂商您真敢自动化的执行网络阻断或IP封禁操作吗？

谈到SOAR，多数产商张口闭口自动化,对着客户就是一阵"专业的宣讲"如攻击事件挖掘听到最多的就是嗨，我们可以实时采集各种安全设备的数据、我们可以进行安全事件的审计,我们还可以通过机器学习发现未知呢!

被客户怼回去的往往就是一句话: 回去吧！你丫告警都没有给我弄清楚,谈啥场景定义、自动化......

言归正传,现实世界中要证明一个人清白,包括2个方面:

一方面自身方式-自证清白

另一方面是借助他人-旁人举证

回到网络安全对于告警核实,笔者认为作为SOAR告警核实这件事情方法论同样适用。

如何通过SOAR对安全设备存在大量告警、大量低质量告警、无序与零散告警进行告警到攻击事件Incident的提升，网络安全攻击检测离不开安全日志Event、告警Alert、和攻击事件Incident,能否做到从海量告警中提取出真正需要关注的攻击事件Incident。

SOAR应用场景设计前提就是企业侧存在各类安全设备,各类安全产品各说各话,好比都是webshell告警,不同安全厂商所产生的告警类型都不一样,哪怕同一家公司的安全产品也有很存在告警类型、告警级别不一致。总体而言面对的是一个异构数据的战场，踏踏实实做好面向异构安全数据的标准化治理,实现安全设备间数据互补、告警互纠达到告警和攻击事件的核实。

编排能力

编排能力Security Capability Orchestration,总是面对客户很自信的说看我们的SOAR很牛吧,看这么多设备我们都接入了,还可以接入任何您想要添加的安全设备和您现存的信息化系统，来吧我们一起愉快的"拖拽" 我们携手“拖拽”出一个流程......

望SOAR才俊先自我思考下 编排个"球"?这个“球”到底是啥?

诚实的回答(问题一:能力&应用接入的集成规范):

做技术做产品就需要踏踏实实回到需求的本质,编排对谁做编排？用什么东西或什么规范吧这些糖葫芦串在一起？例如来自灯塔国OpenC2通信标准、网络安全终极目标IACD综合自适应防御框架,还是SCAP安全内容自动化协议? 或者SOAR才俊谦虚务实的说"其实我们也没有什么标准,就是踏踏实实的接入了国内大部分的安全产品,对每个产品都实现了一套API"拼的是体力。

诚实的回答(问题二:咋个协同防御):

基于编排的协调防御到底协同个啥？大部分的SOAR才俊会掏出背在后背上的布袋掏出基于软件定义网络的协同能力、基于软件定义安全的协同防御能力、基于如“联动防火墙......”等等众多利器

说到底编排的前提是标准化,就拿OpenC2(Open Command and Control OpenC2是一套实现网络防御功能的命令和控制)规范来说 我曾经服务的国内头部的一家网络安全巨头,在公司内部也牵头成立OpenC2标准化小组，试图拉通公司内部产品线。当初在内部宣讲的时候放言:现今网络攻击高速运行，对攻击的有效反应必须高速。安全解决方案不仅必须更快、更智能，还必须能够共同努力创建协调一致的自动防御网络。诸如防火墙、入侵检测设备、加密设备、沙盒和蜜罐除了能够共享信息，还必须能够编排他们的动作，以及各种网络和主机控制设备的动作，以动态地调整他们的操作条件来对抗敌对行为。我们需要构建一种开放的标准方法将组织的运营和防御意图转化为协调和自动化需要系统控制动作。

现实情况客户侧安全设备种类繁多，山头林立，建立类似COTS(现货供应体系)的标准化短期内很不现实，但是练就SOAR奇拳的才俊还是需要基于某些领域吧能力讲清楚。好比协同防御,协同讲的是设备间的策略定义,防御讲的是设备间的处置模型。大白话就是多种设备间通过定义策略进行处置响应的的自动化定义。揉碎了说如对终端有哪些能力进程隔离、进程查杀、进程启停、文件隔离、文件还原？或者看上去很牛逼的"微隔离"。

列为SOAR才俊望您拉通不了接口标准，就说点安全圈大家能懂的，说点主机进程或样本能听懂的，不要一上来就是啥都能编排。

写到最后

好的产品一定是基于应用场景,脱离实际场景就是耍流氓。安全也是这个道理,用隔离王大妈带点泥土气息的说法就是都能检测啥？联动啥？处置啥？具体点

自此,坊间便知SOAR拳术了的! 望SOAR才俊少说如下大话,听到这些大话的甲方也尽快跑吧:

1、检测、响应、编排、自动化处置什么都能做

2、你可以在我上面加剧本呀，我们的能力是开放的

3、你看我们能联动很多安全产品和设备呢,看着什么防火墙、什么oa、什么jira、什么叮叮、什么微信我们都能联动哦

4、我们还内置了好多机器学习模块呢，能自动替你学习和处置呢

技术"极左":开箱即用,跑步奔向安全自动化,强势解放安全运营生产力--一点也不靠谱