干货解读 | 中国信通院安全所与3499cc拉斯维加斯联合发布“SOAR白皮书”
11月26日,2019年(第九届)电信和互联网行业网络安全年会在西安举行,主论坛上中国信息通信研究院安全所和3499cc拉斯维加斯联合发布了其在网络安全先进技术领域的最新研究成果,《网络安全先进技术与应用发展系列白皮书——安全编排自动化与响应(SOAR)》(以下简称:白皮书)。
中国信息通信研究院安全所所长魏亮与3499cc拉斯维加斯高级副总裁黄健共同发布白皮书。
《网络安全先进技术与应用发展系列白皮书——安全编排自动化与响应(SOAR)》全面阐述了SOAR的概念、内涵和核心能力,分析了新形势下网络安全团队面临的挑战,找到SOAR 满足网络安全需求的应对之道。同时,白皮书还对国内外领先的网络安全企业运用SOAR技术的优秀案例进行介绍;对SOAR未来面对的机遇与挑战给予展望。
一
SOAR的概念、内涵及核心性能
SOAR的概念:2015年,Gartner首次提出SOAR概念,将其定义为一种对利用机器读取的、有状态的安全数据提供报告、分析 和管理的能力资源,为整个运营安全团队提供支持。2017年Gartner对SOAR进行了全新的概念升级,将SOAR定义为安全编排自动化与响应(Security Orchestration Automation and Response, SOAR);自2019年后,SOAR的发展路径将由SOC优化、威胁检测和响应、威胁调查和响应以及威胁情报管理来驱动。
SOAR的内涵:编排、自动化、响应、案例管理、协同合作。
SOAR的核心能力:定制化、灵活化、联动化。
二
新形势下网络安全团队面临的挑战
1.安全事件和威胁风险剧增
近年来安全事件的数量不断增加。2016年到2019年,漏洞数量呈直线上升的,截止2019年7月,2019年漏洞数量已经超过2016年全年漏洞数量。从侧面反映出安全团队需要处理的安全事件正与日俱增。
2.人力不足且经验难以固化
安全事件增长的速度远快于安全专家培养的速度;同时,网络安全人才的经验难以固化传承,大多数安全分析师对事件的分析都是基于经验,但经验共享性不强,没有良好机制进行汇总。
3.设备孤立且技术整合度低
传统安全防护手段包括防火墙、入侵检测、日志审计、访问控制等,部署量多、独自为战,并没有统一的安排调度实现协同高效的目标。
4.安全保障政策法规要求高
如《中华人民共和国网络安全法》、《公共互联网网络安全威胁检测与处置办法》、《信息安全技术网络安全等级保护基本要求》(等保2.0)、《通用数据保护条例》GDPR的法律法规的出台,需要安全防护措施满足大量合规要求。
三
SOAR的智能化应对方案
针对以上四点挑战,SOAR提出以下四种应对方案:
1.集成化处理海量威胁情报
SOAR可集成化的处理海量威胁情报,通过丰富的威胁情报库的集成包括IoC攻击指标库、安全事件库、网络资产库、专家情报库等对可以情报进行碰撞,快速定位安全事件,大大提高了威胁情报的识别率。
2.流程化释放优化劳动力
SOAR通过流程化的方式将解决方案自动生成事件进行调查,前期避免为了发现威胁而需投入的大量人力物力,中期简化手动操作创建事件的繁琐流程,后期能够自动生成分析报告。
通过智能分析将事件中重复的、常规的部分交给机器完成,使分析师集中更多时间投入到调查和响应事件而非将时间消耗在执行调查所需的数据收集上。
3.自动化加强人机融合
SOAR技术将人工智能技术引入自动化编排之中,能够通过人机结合,使人员、流程、技术无缝融合在一起。这一过程不单单是对剧本流程的整合,也是对安全技术和安全人员的整合,缩短了反应时间。一方面,智能化编排能将经验最丰富的安全人员的知识和经验提炼为一个易于重复的过程;另一方面,智能化编排能将程序中繁杂简单的工作转移到机器上,不仅提高分析效率,也将分析师的经历集中于更有价值的活动中。
4.智能化满足合规要求
面对新一轮的合规要求提高,SOAR技术通过丰富的模型编排、场景设置对边界防护、垃圾邮件防范做出高效的发掘和应对。智能化的模型编排、算法优化使数据保护符合多场景的应用。通过对网络关键节点的检测,内外部攻击的回连,AI引擎的驱动大大提升入侵检测的能力。
四
行业最佳案例实践之失陷终端的研判与处置
安恒AiLPHA大数据智能安全平台将人工智能与SOAR结合,在医疗、教育、金融行业已经取得很大成效。针对每一个主机建立流量行为基线,当主机被远控木马植入时,通过人工智能 RPCA-SST 算法滤除人为上网行为的噪声,检测出主机存在回连未知地址和数据泄露的特征,联合EDR发现进程存在文件篡改行为,研判分析其为变种木马,自动下发EDR文件隔离策略和防火墙流量阻断策略,及时阻断数据泄露风险。同时,调用Sherlock对木马文件追踪溯源,发现其通过钓鱼邮件植入,办公网中多个主机收到过同样邮件。继续联动漏洞扫描器和EDR对相关资产进行检测与响应。最终将该新型变种木马的文件hash、远控域名、发件邮箱加入威胁情报库,并将相关流量、日志和处置过程通过邮件通知安全管理员进一步应急分析。这一完整的对失陷终端的响应过程就是SOAR创建的剧本,体现了SOAR如何动态实现编排与自动化。
SOAR的机遇与挑战
作为2015年被提出的新概念,SOAR因为能在整个安全事件应对周期发挥关键作用,在现实场景中解决了许多困扰安全团队很久的难题,所以在可预见的未来,SOAR的市场将会持续增长。但与此同时SOAR因为其自身的局限性,也面临着被成熟的大规模安全厂商吸纳的挑战,并且根据近年来的SOAR被收购的案例来看,这种安全生态演化和整合的趋势明显加强。