基于Soar的企業安全自動化響應解決方案

袁宏亮

摘要：日前企業安全運營中心的安全事件日益增多，占據了安全工程師大量的時間，導致安全響應時間長、人工介入多，相關處理過程難以定量評估。本文將從Soar技術的原理和應用案例淺析在安全管理當中的安全編排、自動化與響應解決方案。

關鍵詞：安全運營;自動化響應;Soar

一、企業安全現狀

隨著網絡安全行業日益火熱，各類網絡黑客技術和工具也越來越多，普通程序員利用網絡上共享的安全工具就可以十分快捷的上線并進行網絡攻擊活動。例如，微軟官方于2020年3月公布了CVE-2020-0796漏洞，提示用戶SMB服務存在遠程代碼執行高危漏洞。僅在漏洞公布不久，相應POC漏洞利用工具已經出現在github平臺上，僅需安裝python運行環境即可運行攻擊腳本發起網絡攻擊。由此可見，網絡安全攻擊者攻擊成本日益降低，安全事件數量增長率日益高漲。

目前一般大中型企業都已經建立了相對比較完備的安全運營中心（下稱為SOC），在SOC的運營過程中經常會遇到以下問題：

（一）大量的安全事件需要安全工程師介入，安全工程師分析的時間被許多無關緊要的事件消耗。導致安全響應執行過程、響應時間長，人工介入多，安全工作無法閉環。

（二）安全運營內包括多維度的調查取證、漏洞驗證、安全策略變更等，需跨多系統多部門同步協作，導致安全閉環推進成本增加。

（三）一次常規的事件響應，至少涉及10個以上系統或程序，安全人員自身感覺耗時耗力，安全應急嚴重依賴人工操作。

二、Soar定義

Soar技術全稱是 Security Orchestration， Automation and Response，安全編排和自動化響應，是Gartner2017年提出的概念。Soar的產生就是為了解決以上提到的各類SOC運營問題，主要包括以下幾個方面：

（一）Orchestration，編排。與過去相比，現在的安全運營中心需要整合大量的系統，要滿足這些需求，必然需要的提供豐富的事件響應與處理編排能力，可以進行流程定制，流程執行。

（二）Automation，自動化。當前安全分析師工作量和內容都大大增加。數據是海量的數據，大量的數據需要使用自動化方式去處理。

（三）合理的KPI評估體系。系統提供編排與自動化執行能力，根據評估結果，可以進行流程再造，優化我們的編排內容，帶來整個SOC的效率提升。

因此結合Soar定義，我們可以將目標確定為減少人工參與，固化處理流程，融合人工智能，加快威脅響應，及時減少損失。

三、Soar平臺聯動架構

我們將Soar與人工智能、RPA等多項工具融合，可以實現在智能安全編排、自動化響應過程中的多項應用。其在SOC中的運行架構可用下圖表示。

在收到一些威脅情報或攻擊檢測等之后，會出發Soar平臺的告警閾值，平臺依據原本安排好的決策劇本進行智能決策，迅速響應同步至各大平臺，在安全產品上完成信息同步，在網絡產品上更新策略信息以及在各類It系統中完成響應防御操作，為防護方爭取較多的時間。

Soar與機器學習等技術相結合，可實現人機協同作戰的應用場景。通過給平臺提供相近領域的樣本訓練，平臺基于歷史數據借助機器學習算法進行統計模擬后，可實現持續的“自學習、自優化”實現安全運營可持續優化。安全工程師可通過文字方式給平臺機器人下達執行，平臺通過機器學習、語境關聯自動反饋安全建議。平臺也可以基于安全事件、威脅情報等自動化生成腳本，并結合人工驗證的方式最后一鍵全部部署，完成了安全事件和威脅情報下人機的協同作戰。

四、應用案例

以下分享基于Soar實現封鎖清除失陷主機并加固的流程：

平臺在檢測到類似漏洞信息后，開始分析流程，對靶機進行判斷檢測，判斷如確認遭受漏洞攻擊，系統自動流轉到處置環節開啟全境掃描封鎖。對于確認未感染的機器，平臺直接完成補丁加固或規避方案;對已經感染的主機統一進行網絡訪問控制ACL隔離、刪除響應定時任務和可疑文件等操作，防止被感染靶機橫向擴散。在檢測過程中，如若確定威脅誤判，系統可自動生成運維工單，提醒安全工程師對規則進行補充和更新，減少誤報頻率。

五、小結

Soar平臺可以企業SOC運營降低較多成本。傳統一封釣魚郵件可能需要1-2小時完成響應，建立平臺后可在5-10分鐘內進行溯源分析;傳統封閉某個IP地址或網段需要網絡工程師5-10分鐘的操作時間，在搭建平臺后可實現10秒內完成封禁。

作者簡介：

袁宏亮（1995.09）男，湖北通城籍，本科學歷，單位：興業銀行武漢分行信息科技部。