freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈企业SOAR项目建设
2022-05-18 09:17:14
所属地 广东省

1、为什么要上SOAR

已经有一堆安全设备,已经建设了态势感知/SOC,为什么还要上SOAR呢?

回答这个问题之前反过来想想为什么企业做一堆安全建设?

网络威胁衍生出防火墙、WAF、全流量检测等安全产品;

终端威胁衍生出杀毒、HIDS、沙箱等安全产品;

容器威胁衍生出容器安全产品;

数据安全威胁衍生出数据安全相关产品。

随着企业的发展,每新增一种类型的资产时,对应的也新增了一些安全威胁,安全部门也增加了一种安全产品的建设。

以上的建设均是因为企业安全能力的不足而投入的建设。受国家政策的利好,企业安全能力建设突飞猛进。当安全能力建设到达一定程度的时候,安全运营能力也提上日程。安全运营能力建设包含了SOC、SRC等系统的建设,还有很关键的安全设备的运营(必要时刻才出击)。

企业此时将面临的问题包含:

  • 告警爆炸问题
  • 手工处理低效问题
  • 缺乏人员问题

1.1、告警爆炸问题

  • 安全攻防对抗日益激烈
  • 安全设备多了,产生的告警也就自然多了
  • 安全厂商能力有限,本身误告很多
  • 部分安全设备内置规则无法依据企业自身情况而定制(亦或定制困难),导致误告过多
  • 昨天的坑还没补完,今天又有新来的

1.2、手工处理低效问题

  • 需要去各个地方查看各种日志(或者说是情报)才能对事件进行安全分析
  • 很多可疑事件需要跨部门进行沟通确认,耗时过长

1.3、缺乏人员问题

  • 企业的资产类型多,威胁也会存在多样性,对人员素质要求非常高
  • 处理经验缺乏沉淀,接盘困难
  • 安全部门的编制有限,无法招聘足够的人员

回到最开始的问题,为什么要上SOAR?SOAR就是来解决以上问题的,这也是企业安全程度提升时中必然经历的过程。



2、什么是SOAR

上面只提到了SOAR解决什么样的问题,并没有给出SOAR的定义。

安全行业的名词层出不穷,笔者并不太想给SOAR一个准确的定义。一堆精铁通过不断的锤炼变成一把刀,你问这把刀是啥?切菜的时候是菜刀,砍树的时候是斧子。。。

虽然无法给出SOAR的明确定义,但是可以说说SOAR要具备的基本能力

  • 联动设备能力
  • 自动化调度能力
  • 剧本编排能力
  • 剧本执行结果审计能力

SOAR还可以衍生或集成很多其它能力,例如作战室、工单、XDR、BAS等。这些衍生的功能不在此文讨论范围,本文仅对其最内核的功能进行讨论。

2.1、联动设备能力

该能力实际可以分为事件采集能力、安全处置能力、安全策略下发能力、安全检测下发能力、安全数据富化能力。

注意联动的设备可能是安全设备,也可能是数据库、Email等。

事件采集能力,指SOAR可以定时/实时增量采集到设备上指定的日志或者告警等信息,通过聚合、去重后上报至SOAR中成为独立的事件。

在该过程中,可以对事件的数据进行范式化处理。例如反弹Shell的数据,应当包含源IP、目的IP、目的端口、进程信息等。对于任意HIDS的反弹Shell数据都应遵循该标准,这样设备发生变更,剧本不用跟随进行变更。但该能力比较考验开发者业务能力,建议SOAR厂商定义。自建项目不用考虑该问题。

安全处置能力,指SOAR可以联动设备对其中的流程进行处置。

当联动的设备是工单系统或SOC时,SOAR需要对齐流程进行处置操作。该过程实际是通过自动化替代人工处置,提高效率。

安全策略下发能力,指SOAR可以联动设备下发安全策略。

例如WAF黑名单策略,HIDS检测白名单策略等。该过程实际是通过自动化替代人工处置,提高效率。

安全检测下发能力,指SOAR联动设备下发安全检测任务。

例如调用沙箱进行病毒检测,又或调用HIDS进行漏洞检测等。该过程实际是通过自动化替代人工处置,提高效率。

安全数据富化能力,指SOAR联动设备查询信息。某种场景下是内部威胁情报的扩展,但也不泛包含资产信息的查询。

例如:查询HIDS某主机信息,又或主机是否包含xx漏洞信息,又或该主机最近暴力破解信息。

2.2、自动化调度能力

该能力是SOAR的基础,也有很多时候被误认为与自动化脚本一直。(实际没毛病,高级版自动化脚本)

SOAR中的命令执行如何有条不紊,依赖于其自动化调度能力。

自动化调度能力包含手动调用设备命令的执行、剧本的手动执行、事件触发剧本执行、定时触发剧本执行。

该调度应当还考虑跨网域的可用性。有些场景中SOAR与安全设备不可直接连接,需要利用代理进行调度。

2.3、剧本编排能力

当事件的处理流程固化下来以后,形成的数字化流程即是SOAR剧本。

自动化脚本是需求方描述,程序员写入脚本中。而SOAR通过可视化界面,拖拉拽各种安全能力形成完整的流程。

在可视化界面中,允许用户定义各安全能力的输入引用。

为提高剧本的灵活性,剧本编排时应当还支持自定义脚本。

2.4、剧本执行结果审计能力

自动化脚本执行全靠日志输出来进行审计,某些时候更像一个黑盒子。

SOAR上应对剧本进行相应的剧本执行结果进行审计,其中包含剧本各个节点的输入输出信息。



3、SOAR建设中的问题

3.1、同类安全设备多厂家问题

该问题导致同一类型的告警相关数据不一致。同时,同一个处置方案,不复用。

解决方案:做好相关标准化的工作

3.2、厂商配合度不高导致设备对接困难

SOAR非常依赖底层厂商的能力。当设备无法对接或者稳定性存在隐患时,SOAR实施过程就非常痛苦。

解决方案:做好爬虫技术对接的备选方案

3.3、厂商的安全能力无法满足需求

信誓旦旦的上了SOAR,结果厂商安全能力不足。例如HIDS功能缺失主机查询命令执行功能,这个时候就需要SOAR直接联动主机或者通过跳板机/堡垒机进行查询命令执行。

解决方案:暂无完美方案

3.4、联动设备能力建设无法快速响应

想用一下SOAR,结果当前联动设备的能力有限,提需求后还需要开发。开发完毕后,之前的需求也不在强烈,甚至因开发周期过长而放弃使用。

解决方法:尽量避免过度定制设备能力,开放不只是提高使用灵活度和复用度,对于开发侧也是降低业务理解周期。

3.5、SOAR会不会干掉当前的安全运营

很多安服同学想,上了SOAR是不是就会干掉当前安全运营同学。SOAR只是提高了工作效率,仍需安全运营的同学对剧本进行持续化的优化。

# 安全管理 # 安全运营 # soar
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录