基于SOAR 的安全運(yùn)營(yíng)自動(dòng)化關(guān)鍵技術(shù)構(gòu)建及未來(lái)演進(jìn)方向

趙粵征，葉建偉，贠 珊，郭蘭杰

(綠盟科技集團(tuán)股份有限公司，北京100089)

0 引言

安全運(yùn)營(yíng)核心能力在于將人、數(shù)據(jù)、以技術(shù)為基礎(chǔ)的工具和流程有機(jī)集合，共同構(gòu)成安全運(yùn)營(yíng)的基本要素，以數(shù)據(jù)為基礎(chǔ)，以安全分析為手段，發(fā)現(xiàn)有效威脅；以響應(yīng)為閉環(huán)措施達(dá)到對(duì)安全風(fēng)險(xiǎn)的抑制或者降低，從而實(shí)現(xiàn)從被動(dòng)安全到主動(dòng)安全的轉(zhuǎn)變。 而SOAR 作為近年來(lái)推出的安全編排自動(dòng)化響應(yīng)解決方案[1-2]，充分融合了數(shù)據(jù)、人的安全技能、工具、流程，從而達(dá)到快速高效實(shí)現(xiàn)安全運(yùn)營(yíng)的目的。 隨著 SOAR 解決方案的逐步推進(jìn)和落地，安全運(yùn)營(yíng)自動(dòng)化已經(jīng)初見雛形，并在安全運(yùn)營(yíng)方面發(fā)揮著越來(lái)越重要的作用。

在安全運(yùn)營(yíng)自動(dòng)化中，最重要的還是人的因素，沒(méi)有足夠的安全運(yùn)營(yíng)人才來(lái)運(yùn)營(yíng)，就無(wú)法發(fā)揮安全工具的完整價(jià)值。

2017 年，Gartner 提出了 SOAR(安全編排與自動(dòng)化響應(yīng))的定義，其是安全運(yùn)營(yíng)實(shí)現(xiàn)自動(dòng)化的最重要的解決方案。 大多數(shù)安全廠家都已經(jīng)采用可視化編排的技術(shù)手段，通過(guò)各類安全分析工具箱、研判取證工具箱、響應(yīng)工具箱的定義，利用人機(jī)可視化交互模式，基于威脅場(chǎng)景定義其分析及響應(yīng)處置的業(yè)務(wù)流，從而達(dá)到將人的安全分析、研判取證、響應(yīng)的業(yè)務(wù)能力基于場(chǎng)景固化，進(jìn)而利用系統(tǒng)的自動(dòng)化場(chǎng)景觸發(fā)機(jī)制，實(shí)現(xiàn)安全威脅場(chǎng)景的自動(dòng)化分析響應(yīng)處置過(guò)程[3-4]。 其總體實(shí)現(xiàn)架構(gòu)模型如圖 1 所示。

在SOAR 的執(zhí)行引擎中，當(dāng)通過(guò)可視化流程編排定義了面向某一威脅場(chǎng)景的流程處置模型后，其對(duì)應(yīng)的流程模型下發(fā)到SOAR 執(zhí)行引擎中，并形成面向這一威脅場(chǎng)景的流程處置規(guī)則，通常把它稱為案例規(guī)則[5]。 當(dāng)對(duì)應(yīng)的安全日志作為數(shù)據(jù)源進(jìn)入SOAR 平臺(tái)，則案例規(guī)則在分析階段進(jìn)行分析，當(dāng)前日志命中案例中定義的安全規(guī)則模型時(shí)，則表示當(dāng)前威脅場(chǎng)景被命中，在這種情況下，則開始進(jìn)行自動(dòng)化的研判取證并依據(jù)取證數(shù)據(jù)的結(jié)果，進(jìn)行一系列的自動(dòng)化響應(yīng)。 這一系列的響應(yīng)動(dòng)作雖然針對(duì)的威脅場(chǎng)景不同，但總體面向設(shè)備聯(lián)動(dòng)的響應(yīng)動(dòng)作主要包含全局封堵、主機(jī)隔離、主機(jī)清理和主機(jī)加固4 類，并配套其他一些輔助性的響應(yīng)，如創(chuàng)建工單、預(yù)警通知、人工審核等[6]。以上是 SOAR 解決方案中已知的實(shí)現(xiàn)方式及模型。

從當(dāng)前國(guó)內(nèi)主流廠家的SOAR 解決方案中可以看到，大多數(shù)廠家還都處于自動(dòng)化響應(yīng)的初級(jí)階段，主要是針對(duì)已知的安全攻擊場(chǎng)景進(jìn)行攻擊源的封堵、預(yù)警通知及處置報(bào)告的生成等[7-10]。 針對(duì)更深層級(jí)的復(fù)雜木馬攻擊(如挖礦、勒索病毒等)、APT(Advanced Persistent Threat)攻擊等尚未形成有效的完整解決方案，同時(shí)，對(duì)于威脅攻擊結(jié)合漏洞利用的完整響應(yīng)閉環(huán)方案未見觸及，關(guān)鍵基礎(chǔ)設(shè)施的合規(guī)管理也未見任何論述。 這將導(dǎo)致安全運(yùn)營(yíng)自動(dòng)化在關(guān)鍵環(huán)節(jié)缺失，無(wú)法形成完整快速閉環(huán)：

(1)針對(duì)APT 攻擊的分析過(guò)程及自動(dòng)化響應(yīng)并沒(méi)有在現(xiàn)有的SOAR 解決方案實(shí)現(xiàn)，導(dǎo)致行業(yè)關(guān)注度比較高的各類 APT 攻擊(如挖礦、勒索病毒、震網(wǎng)攻擊等)無(wú)法實(shí)現(xiàn)端到端的自動(dòng)化分析及響應(yīng)的有效閉環(huán)；

圖 1 SOAR 架構(gòu)模型

(2)資產(chǎn)漏洞和安全威脅的關(guān)聯(lián)分析及處置過(guò)程沒(méi)有有效納入到自動(dòng)化處置流程中，導(dǎo)致安全運(yùn)營(yíng)的效能大打折扣；

(3)響應(yīng)完成后的響應(yīng)驗(yàn)證環(huán)節(jié)未在SOAR 的概念模型中體現(xiàn)，人工離線驗(yàn)證過(guò)程也大幅降低了安全運(yùn)營(yíng)的效率；

(4)關(guān)鍵信息基礎(chǔ)設(shè)施安全合規(guī)管理未在SOAR概念模型中體現(xiàn)，無(wú)法基于合規(guī)管理及監(jiān)管訴求，快速構(gòu)建合規(guī)檢查、測(cè)評(píng)、整改任務(wù)等并基于檢查結(jié)構(gòu)自動(dòng)生成合規(guī)報(bào)表等。

針對(duì)以上各類問(wèn)題，本文提出面向APT 攻擊、漏洞、響應(yīng)驗(yàn)證及關(guān)鍵信息基礎(chǔ)設(shè)施安全合規(guī)管理的可視化編排及響應(yīng)方案，以完善和豐富SOAR 的概念模型，達(dá)到提升安全運(yùn)營(yíng)體系的價(jià)值，使得安全運(yùn)營(yíng)專家可以從重復(fù)性的分析及響應(yīng)工作解脫出來(lái)。

1 可視化編排及自動(dòng)化處置支持全場(chǎng)景安全運(yùn)營(yíng)

1.1 復(fù)雜的 APT 可視化編排分析及響應(yīng)

相對(duì)比較復(fù)雜的APT 攻擊分析和響應(yīng)處理，長(zhǎng)久以來(lái)一直是安全運(yùn)營(yíng)的痛點(diǎn)。 大量的人力都消耗在對(duì)多個(gè)數(shù)據(jù)源的人工關(guān)聯(lián)分析確認(rèn)并最終通過(guò)人力來(lái)實(shí)現(xiàn)響應(yīng)閉環(huán)。 目前很多SOAR 解決方案也已經(jīng)能夠支持針對(duì)確定的威脅場(chǎng)景的自動(dòng)化響應(yīng)閉環(huán)[11]，但對(duì)于分析研判的判定，由于攻擊在內(nèi)部潛伏一段時(shí)間后才開始攻擊回連，或者發(fā)起橫向攻擊等，無(wú)法通過(guò)流式分析引擎有效地進(jìn)行分析，還是需要通過(guò)人工在攻擊已經(jīng)造成損失后進(jìn)行取證確認(rèn)。 為了實(shí)現(xiàn) APT 攻擊的自動(dòng)化分析過(guò)程，需要利用可視化編排手段，結(jié)合離線分析引擎，及時(shí)判定當(dāng)前主機(jī)是否由于APT 攻擊造成其失陷。

其編排過(guò)程如圖2 所示。

在上述編排過(guò)程中，安全規(guī)則針對(duì)本次APT 攻擊的確定在本次攻擊的開始階段，而研判取證則是確定APT 攻擊是否成功的關(guān)聯(lián)分析取證過(guò)程中的關(guān)鍵步驟。

由于APT 攻擊在攻擊成功后其木馬（或者病毒等）腳本可能存在一個(gè)長(zhǎng)期的駐留期，流式的關(guān)聯(lián)分析過(guò)程可能無(wú)法通過(guò)長(zhǎng)時(shí)間窗口命中后續(xù)的關(guān)聯(lián)動(dòng)作，因?yàn)閷?duì)長(zhǎng)周期的關(guān)聯(lián)分析規(guī)則進(jìn)行流式匹配會(huì)帶來(lái)大量的系統(tǒng)資源開銷，當(dāng)這種長(zhǎng)周期的分析在流式分析引擎駐留時(shí)，系統(tǒng)無(wú)法承受這種性能開銷。 所以需要利用離線分析引擎，圍繞被攻擊對(duì)象，通過(guò)研判取證模塊，利用其他安全設(shè)備日志、被攻擊對(duì)象的主機(jī)日志、威脅情報(bào)等，進(jìn)行攻擊路徑及攻擊過(guò)程的離線關(guān)聯(lián)分析。 該過(guò)程是一個(gè)周期性的研判取證過(guò)程。

當(dāng)APT 關(guān)鍵威脅事件(或者初始威脅事件)發(fā)生時(shí)，系統(tǒng)將針對(duì)當(dāng)前關(guān)鍵性事件建立一個(gè)周期性研判取證任務(wù)，這個(gè)周期可以是小時(shí)級(jí)、日級(jí)，甚至是周級(jí)。 當(dāng)開始周期執(zhí)行時(shí)，系統(tǒng)調(diào)用離線分析引擎，對(duì)事件發(fā)生的目標(biāo)IP 及其周邊關(guān)聯(lián) IP 進(jìn)行關(guān)聯(lián)事件的取證，確定是否有當(dāng)前事件的前序事件及后續(xù)事件的發(fā)生，通過(guò)這種周期性關(guān)聯(lián)分析過(guò)程，逐步構(gòu)建出圍繞當(dāng)前關(guān)鍵事件(或者初始事件)的攻擊行為時(shí)序關(guān)系。 其關(guān)聯(lián)分析處理過(guò)程如圖3 所示。

圖2 可視化編排流程

在此基礎(chǔ)上利用攻擊鏈模型確定關(guān)聯(lián)事件行為時(shí)序的攻擊鏈階段， 從而有效推理形成完整的APT 攻擊行為鏈。

在真實(shí)的網(wǎng)絡(luò)環(huán)境中，系統(tǒng)不應(yīng)當(dāng)?shù)却暾拇_定本次APT 攻擊的攻擊行為時(shí)序以及攻擊鏈確認(rèn)過(guò)程的輸出， 否則就已經(jīng)形成對(duì)網(wǎng)絡(luò)的有效攻擊。 系統(tǒng)可以依據(jù)編排過(guò)程中確定的響應(yīng)策略，在攻擊時(shí)序的某個(gè)階段對(duì)本次APT 攻擊進(jìn)行有效的響應(yīng)動(dòng)作，以便及時(shí)阻斷后續(xù)動(dòng)作的發(fā)生。 例如圖 4 中，當(dāng)進(jìn)行安裝違規(guī)軟件時(shí)，系統(tǒng)就可以確定當(dāng)前被安裝軟件的主機(jī)IP 已經(jīng)失陷，基于編排時(shí)設(shè)置的響應(yīng)策略可以進(jìn)行相應(yīng)的封堵攻擊源IP，隔離當(dāng)前失陷 IP， 及刪除非法安裝軟件等操作，以阻止后續(xù)攻擊的橫向蔓延。

1.2 漏洞的可視化編排及自動(dòng)響應(yīng)

隨著安全運(yùn)營(yíng)場(chǎng)景的豐富和完善、EDR 系統(tǒng)功能的逐步增強(qiáng)，原來(lái)需要人工來(lái)進(jìn)行的漏洞離線處置過(guò)程，也可以逐步納入到安全自動(dòng)化運(yùn)營(yíng)體系當(dāng)中[12]。 在后續(xù)的自動(dòng)化處理過(guò)程中，可以從如下視角考慮漏洞的自動(dòng)化處置過(guò)程。

圖3 APT 攻擊時(shí)序關(guān)聯(lián)分析過(guò)程

圖 4 APT 攻擊行為鏈

1.2.1 基于攻擊實(shí)現(xiàn)對(duì)漏洞的關(guān)聯(lián)處置編排

在很多威脅攻擊中，都是利用某個(gè)漏洞實(shí)現(xiàn)攻擊過(guò)程并最終導(dǎo)致失陷。 因此在自動(dòng)化編排中，不僅需要考慮針對(duì)當(dāng)前被攻擊資產(chǎn)的漏洞加固，同時(shí)，還需要考慮針對(duì)網(wǎng)絡(luò)中所有存在當(dāng)前漏洞的資產(chǎn)的加固。 其編排流程可參考圖5。

1.2.2 基于漏洞視角的處置編排

對(duì)于客戶非常重視的一些高危漏洞，或者熱點(diǎn)漏洞，需要考慮從漏洞視角進(jìn)行響應(yīng)處置流的構(gòu)建過(guò)程，如圖 6 所示。

1.2.3 基于風(fēng)險(xiǎn)視角的漏洞自動(dòng)化處置編排流程

除了上述兩個(gè)視角的漏洞處置編排流程外，系統(tǒng)也可以從安全風(fēng)險(xiǎn)的視角進(jìn)行漏洞處置的編排流程定義，在“2020 年 Gartner 十大安全項(xiàng)目”中，提出了基于風(fēng)險(xiǎn)的漏洞管理，Gartner 認(rèn)為補(bǔ)丁重要性是不同的，應(yīng)該采用基于風(fēng)險(xiǎn)的方法來(lái)管理補(bǔ)丁程序，重點(diǎn)關(guān)注具有較高風(fēng)險(xiǎn)的系統(tǒng)和漏洞。因此，在漏洞的可視化編排及自動(dòng)化響應(yīng)中，應(yīng)基于漏洞給整體網(wǎng)絡(luò)安全帶來(lái)的風(fēng)險(xiǎn)情況進(jìn)行可視化編排，并基于漏洞的解決方案庫(kù)確定自動(dòng)化加固響應(yīng)策略并付諸實(shí)施。

1.2.4 其他

同時(shí)對(duì)于客戶關(guān)注的高價(jià)值資產(chǎn)，還可以從資產(chǎn)的視角進(jìn)行威脅及漏洞的處置編排流程定義并實(shí)現(xiàn)面向資產(chǎn)的自動(dòng)化加固過(guò)程。

1.3 響應(yīng)驗(yàn)證的編排及自動(dòng)化響應(yīng)

傳統(tǒng)人工應(yīng)急響應(yīng)完成后的驗(yàn)證環(huán)節(jié)在過(guò)去面臨一些問(wèn)題，例如驗(yàn)證環(huán)節(jié)由人工執(zhí)行、驗(yàn)證效率低、驗(yàn)證周期長(zhǎng)等，面對(duì)這些不足，企業(yè)急需一套可以高效運(yùn)維的自動(dòng)化驗(yàn)證管理工具。

圖5 被利用漏洞關(guān)聯(lián)處置流程

圖6 漏洞視角處置編排流程

目前SOAR 編排及自動(dòng)化響應(yīng)體系中并沒(méi)有納入明確的自動(dòng)化驗(yàn)證環(huán)節(jié)，在目前的SOAR 的自動(dòng)化處置方案中，也沒(méi)有任何廠商將響應(yīng)驗(yàn)證環(huán)節(jié)納入到整個(gè)自動(dòng)化處置環(huán)節(jié)中，因此，本文在SOAR 的自動(dòng)化執(zhí)行引擎中將響應(yīng)驗(yàn)證的模型納入考慮，并支持和 NDR 及 EDR 的聯(lián)動(dòng)過(guò)程[13]，以自動(dòng)化的方式，實(shí)現(xiàn)對(duì)響應(yīng)結(jié)果的驗(yàn)證。 其總體實(shí)現(xiàn)的擴(kuò)展架構(gòu)模型如圖7 所示。

在響應(yīng)完成后，把自動(dòng)化響應(yīng)驗(yàn)證納入到自動(dòng)化聯(lián)動(dòng)環(huán)節(jié)，將極大提升驗(yàn)證環(huán)節(jié)的效率。 其具體編排的流程如圖8 所示。

自動(dòng)化驗(yàn)證方案依托于NDR/EDR 設(shè)備聯(lián)動(dòng)，支持以下的自動(dòng)化驗(yàn)證能力。

1.3.1 全局封堵驗(yàn)證

全局封堵驗(yàn)證主要是在完成針對(duì)IP 封堵、域名封堵、流量牽引、會(huì)話封堵等響應(yīng)動(dòng)作后，針對(duì)響應(yīng)成功后的結(jié)果的驗(yàn)證，在驗(yàn)證的完整性層面上，需要考慮兩方面的情況：

(1) 通過(guò)SOAR 平臺(tái)下發(fā)到響應(yīng)設(shè)備上的封堵策略的校驗(yàn)，確認(rèn)封堵策略在響應(yīng)設(shè)備上的正確性；

(2)通過(guò)自動(dòng)化測(cè)試工具(Ping、Trace Routing 等)驗(yàn)證封堵的有效性。

1.3.2 主機(jī)隔離驗(yàn)證

主機(jī)隔離驗(yàn)證主要是完成主機(jī)隔離響應(yīng)動(dòng)作后，針對(duì)響應(yīng)成功后的結(jié)果的驗(yàn)證，在驗(yàn)證的完整性層面上，需要考慮兩方面的情況：

(1)通過(guò)SOAR 平臺(tái)下發(fā)到響應(yīng)設(shè)備上的隔離策略的校驗(yàn)，需確認(rèn)隔離策略在響應(yīng)設(shè)備上的正確性；

(2)一般主機(jī)被隔離后，在網(wǎng)絡(luò)上仍然能保證EDR Server 和當(dāng)前主機(jī)上 Agent 的通信正常，因此系統(tǒng)可以通過(guò)和EDR 的聯(lián)動(dòng)機(jī)制，確認(rèn)被隔離主機(jī)的隔離效果和隔離范圍，如通過(guò)通知EDR 對(duì)主機(jī)的隔離效果的確認(rèn)(例如由EDR Agent 發(fā)起對(duì)某些 IP的訪問(wèn)請(qǐng)求)，繼而確定訪問(wèn)請(qǐng)求被拒絕等。

1.3.3 主機(jī)清理驗(yàn)證

主機(jī)清理驗(yàn)證主要是完成主機(jī)清理的一系列響應(yīng)動(dòng)作(這些響應(yīng)動(dòng)作包括清理異常進(jìn)程、清理病毒文件、清理異常服務(wù)等)后，針對(duì)響應(yīng)成功后結(jié)果的驗(yàn)證，在驗(yàn)證的完整性層面上，需要考慮兩方面的情況：

(1)通過(guò)SOAR 平臺(tái)下發(fā)到響應(yīng)上的主機(jī)清理策略的校驗(yàn)，確認(rèn)清理策略在響應(yīng)設(shè)備上的正確性；

圖7 SOAR 擴(kuò)展架構(gòu)模型支持響應(yīng)驗(yàn)證

圖8 響應(yīng)驗(yàn)證編排流程

(2)通過(guò)和 EDR 的聯(lián)動(dòng)機(jī)制進(jìn)行信息確認(rèn)，確認(rèn)清理動(dòng)作的有效性，如下發(fā)信息查詢到EDR，由EDR 和主機(jī)通信確認(rèn)對(duì)應(yīng)的異常進(jìn)程、病毒文件、異常服務(wù)已經(jīng)清理。

1.3.4 主機(jī)加固驗(yàn)證

主機(jī)加固驗(yàn)證主要是完成主機(jī)加固的一系列響應(yīng)動(dòng)作(這些響應(yīng)動(dòng)作包括補(bǔ)丁分發(fā)升級(jí)、服務(wù)加固、個(gè)人防火墻加固等)后，針對(duì)響應(yīng)成功后的結(jié)果的驗(yàn)證，在驗(yàn)證的完整性層面上，需要考慮兩方面的情況：

(1) 通過(guò)SOAR 平臺(tái)下發(fā)到響應(yīng)上的加固策略的校驗(yàn)，確認(rèn)加固策略在響應(yīng)設(shè)備上的正確性；

(2)確認(rèn)加固策略執(zhí)行的有效性，包括：通過(guò)自動(dòng)化測(cè)試工具驗(yàn)證主機(jī)加固 (如防火墻規(guī)則加固)的有效性，通過(guò)主機(jī)查詢確認(rèn)補(bǔ)丁升級(jí)的有效性等。

1.3.5 響應(yīng)驗(yàn)證的效果

將自動(dòng)化安全驗(yàn)證環(huán)節(jié)納入到SOAR 的編排及響應(yīng)體系中，相對(duì)于原來(lái)響應(yīng)中的人工驗(yàn)證，在效果上有以下提升：

(1)通過(guò)安全編排，將自動(dòng)化驗(yàn)證的手段固化到數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)驗(yàn)證經(jīng)驗(yàn)的固化和積累；

(2)能夠大幅提升驗(yàn)證的效率，降低由于人工的技能差異導(dǎo)致的驗(yàn)證誤差；

(3)通過(guò)自動(dòng)化的驗(yàn)證過(guò)程，能不斷通過(guò)驗(yàn)證的結(jié)果進(jìn)行調(diào)優(yōu)，并將調(diào)優(yōu)結(jié)果通過(guò)編排重新優(yōu)化驗(yàn)證經(jīng)驗(yàn)。

1.4 關(guān)鍵信息基礎(chǔ)設(shè)施安全合規(guī)管理可視化編排及監(jiān)管閉環(huán)

隨著等保2.0 的逐步落實(shí)，建立標(biāo)準(zhǔn)化、便捷化、智能化、可視化關(guān)鍵信息基礎(chǔ)設(shè)施安全的監(jiān)管閉環(huán)體系，開展等保全流程化管理，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的全生命周期管理閉環(huán)，將是未來(lái)1～2 年的發(fā)展方向。

從資產(chǎn)監(jiān)管的視角出發(fā)，本文對(duì)關(guān)鍵信息資產(chǎn)的安全風(fēng)險(xiǎn)評(píng)估、等保測(cè)評(píng)和定級(jí)備案等情況進(jìn)行統(tǒng)計(jì)分析，將客戶自身安全、等保日常檢查制度、等保測(cè)評(píng)制度及通報(bào)預(yù)警相結(jié)合，并關(guān)聯(lián)平臺(tái)的安全隱患，創(chuàng)建日常檢查任務(wù)、建設(shè)整改任務(wù)、跟蹤記錄等與客戶業(yè)務(wù)流程密切結(jié)合的相關(guān)工作， 通過(guò)SOAR 體系來(lái)實(shí)現(xiàn)，構(gòu)建可視化業(yè)務(wù)流工具箱，深度結(jié)合客戶業(yè)務(wù)流程，通過(guò)可視化編排界面，對(duì)安全管理流程進(jìn)行編排，形成安全風(fēng)險(xiǎn)的自動(dòng)評(píng)估。 各類檢查、測(cè)評(píng)、整改任務(wù)基于條件自動(dòng)生成，實(shí)時(shí)進(jìn)行預(yù)警通報(bào)，并最終基于整體的安全管理情況定期生成統(tǒng)計(jì)報(bào)表。

1.5 安全編排及自動(dòng)化處置的效能提升確認(rèn)

針對(duì)以上場(chǎng)景采用可視化編排及自動(dòng)化響應(yīng)后，經(jīng)初步驗(yàn)證，可以提升的效能如下：

(1)人工APT 分析及取證環(huán)節(jié)一般需要幾天甚至于幾周時(shí)間，某些長(zhǎng)周期APT 攻擊甚至需要人力持續(xù)關(guān)注幾個(gè)月才能排查確認(rèn)，但通過(guò)編排后，可以實(shí)現(xiàn)自動(dòng)取證和分析，無(wú)需人工干預(yù)；以往分析完成后的封堵、隔離、刪除等響應(yīng)動(dòng)作，一般需要人工數(shù)小時(shí)來(lái)確認(rèn)完成，但系統(tǒng)自動(dòng)完成則只需要數(shù)分鐘。

(2)漏洞的處理以往一般都是人工離線處置，但經(jīng)過(guò)系統(tǒng)自動(dòng)分析和批量處置后(如補(bǔ)丁的自動(dòng)批量下發(fā)、端口自動(dòng)封禁等)，效能提升，處理時(shí)間可以從數(shù)天降低到數(shù)分鐘。

(3)一般響應(yīng)完成后的響應(yīng)驗(yàn)證過(guò)程可以從人工驗(yàn)證的小時(shí)級(jí)降低到分鐘級(jí)甚至于秒級(jí)。

(4)完成關(guān)鍵信息基礎(chǔ)設(shè)施安全合規(guī)管理的編排后，最大幅度降低了人工干預(yù)，實(shí)現(xiàn)合規(guī)檢查、整改任務(wù)下發(fā)及報(bào)表的自動(dòng)生成，其效能的提升也是非常巨大的。

綜上所述，在將以上幾個(gè)方面完全納入到SOAR的概念模型后，可以極大地提升安全運(yùn)營(yíng)的自動(dòng)化率，大幅降低人工干預(yù)度，提高安全運(yùn)營(yíng)成熟度。

2 開放架構(gòu)支持SOAR 的開放性生態(tài)體系

針對(duì)第三方設(shè)備的聯(lián)動(dòng)，SOAR 需要是一個(gè)完全開放的生態(tài)系統(tǒng)，這種開放系統(tǒng)意味著它不僅僅具備開放的接口，客戶的第三方設(shè)備能夠基于SOAR提供的開放接口實(shí)現(xiàn)與SOAR 的對(duì)接[14]，更重要的是當(dāng)SOAR 作為一個(gè)全新的安全運(yùn)營(yíng)工具部署到網(wǎng)絡(luò)安全體系中時(shí)，它還要能兼容系統(tǒng)中已經(jīng)部署的海量的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、EDR 系統(tǒng)[15]，甚至可以與客戶的業(yè)務(wù)系統(tǒng)對(duì)接，實(shí)現(xiàn)對(duì)客戶業(yè)務(wù)的管控響應(yīng)閉環(huán)，例如在 5G 環(huán)境中，和 5G 的 PCF 以實(shí)現(xiàn)針對(duì)5G 的網(wǎng)絡(luò)管控策略。

2.1 OpenC2 開放管控接口

標(biāo)準(zhǔn)化接口與協(xié)議的引入將使得不同安全工具實(shí)現(xiàn)互操作，而不限其具體開發(fā)廠商、編寫所使用的語(yǔ)言以及實(shí)際設(shè)計(jì)功能。 對(duì)于SOAR 解決方案必須要能提供一套標(biāo)準(zhǔn)化安全控制的通信和指令，面向相關(guān)的安全控制發(fā)布統(tǒng)一的策略規(guī)則， 以便和周邊安全設(shè)備建立合作生態(tài)體系。

OpenC2 的設(shè)計(jì)理念在于讓網(wǎng)絡(luò)防御技術(shù)中的各類不同元素以機(jī)器速度實(shí)現(xiàn)相互通信，國(guó)內(nèi)相關(guān)行業(yè)已經(jīng)推動(dòng)OpenC2 作為設(shè)備管控接口標(biāo)準(zhǔn)，在相關(guān)行業(yè)中落地實(shí)施。 對(duì)于 SOAR 解決方案來(lái)說(shuō)，若安全設(shè)備都符合該規(guī)范，Playbook 的編寫以及第三方設(shè)備的對(duì)接都將變得統(tǒng)一，從而實(shí)現(xiàn)不同跨廠商的安全設(shè)備間的互聯(lián)互通互操作。

2.2 DevSecOps 框架支持設(shè)備的自適應(yīng)

盡管 SOAR 解決方案可以采用 OpenC2 接口規(guī)范實(shí)現(xiàn)面向各類安全設(shè)備在管控層面上的互聯(lián)互通，但海量已部署在客戶現(xiàn)場(chǎng)的安全設(shè)備的標(biāo)準(zhǔn)接口改造是不現(xiàn)實(shí)的，為了實(shí)現(xiàn)和存量安全設(shè)備的管控接口，就必須要求SOAR 解決方案支持面向不同設(shè)備快速的兼容性接口擴(kuò)展能力。

在SOAR 的數(shù)據(jù)接入及管控接口部分采用Dev-SecOps(Development，Security & Operations)開 放 框 架 ，其實(shí)現(xiàn)如圖9 所示，主要實(shí)現(xiàn)如下功能：

(1)工程人員可以基于插件化模板編排不同設(shè)備廠商不同類型的數(shù)據(jù)接入模型，快速集成并實(shí)現(xiàn)插件在線激活及接入，實(shí)現(xiàn)數(shù)據(jù)源的開箱即用能力；

(2)工程人員可以基于標(biāo)準(zhǔn)插件化模板編排不同設(shè)備廠商、不同管控設(shè)備的管控模型，快速集成并完成管控設(shè)備插件的在線激活及接入，實(shí)現(xiàn)管控設(shè)備的開箱即用能力。 這將是SOAR 開放生態(tài)體系未來(lái)演進(jìn)的一個(gè)主要方向和核心能力。

圖 9 DevSecOps 框架下 SOAR 數(shù)據(jù)接入及響應(yīng)管控

3 安全運(yùn)營(yíng)自動(dòng)化未來(lái)演進(jìn)：統(tǒng)一空間協(xié)同作戰(zhàn)

未來(lái)的安全運(yùn)營(yíng)模式應(yīng)該是在統(tǒng)一的平臺(tái)、統(tǒng)一的可視化空間下，通過(guò)多人協(xié)同定義并改進(jìn)安全分析及響應(yīng)模型的實(shí)時(shí)生效機(jī)制。 在實(shí)現(xiàn)了多源數(shù)據(jù)歸一化、DevSecOps 的插件式安全框架、可視化編排、可視化自動(dòng)響應(yīng)情況下，為統(tǒng)一空間協(xié)同作戰(zhàn)打下良好的技術(shù)基礎(chǔ)。

統(tǒng)一空間協(xié)同作戰(zhàn)強(qiáng)調(diào)統(tǒng)一性，以及大范圍精準(zhǔn)的多人協(xié)同進(jìn)行安全分析及響應(yīng)策略確定。 沒(méi)有統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，就支撐不起大數(shù)據(jù)時(shí)代的聯(lián)合安全分析、研判取證、響應(yīng)的作戰(zhàn)模型。只有明確規(guī)范各類數(shù)據(jù)標(biāo)準(zhǔn)，才能最大限度地解決客觀上難以完全避免的網(wǎng)絡(luò)和信息利用沖突問(wèn)題，達(dá)成聯(lián)合安全分析、取證溯源及響應(yīng)的內(nèi)在要求的互聯(lián)、互通、互操作。 可視化的安全編排、可視化的自動(dòng)化響應(yīng)為各種威脅、漏洞的分析及響應(yīng)閉環(huán)提供了關(guān)鍵安全業(yè)務(wù)鏈及統(tǒng)一規(guī)則，聯(lián)合所有安全專家及工作人員，合力使可視化的關(guān)鍵分析及響應(yīng)信息所得即所見，以最快的速度和最不受限制的方式，在統(tǒng)一的可視化編排及響應(yīng)空間下，在數(shù)據(jù)源設(shè)備、安全分析平臺(tái)、響應(yīng)平臺(tái)、響應(yīng)設(shè)備之間建立分析構(gòu)想，在響應(yīng)指令和分析判斷信息之間建立物理與邏輯聯(lián)系，即迅速建立可靈活反應(yīng)的安全威脅及漏洞等的信息關(guān)聯(lián)，在信息泛濫和信息不足之間達(dá)成有效平衡，迅速完成“安全策略(Policy）、保護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng)(Response)”的信息循環(huán)及信息再利用。

4 結(jié)論

本文針對(duì) SOAR 解決方案，從 APT 攻擊編排及響應(yīng)、漏洞的自動(dòng)化響應(yīng)閉環(huán)、響應(yīng)驗(yàn)證的自動(dòng)化閉環(huán)、關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的編排及監(jiān)控閉環(huán)等的能力方面進(jìn)行了系統(tǒng)闡述，完善和豐富了Gartner 提出的SOAR 解決方案概念模型，大幅提升了安全運(yùn)營(yíng)的效能和成熟度；并在架構(gòu)層面引入DevSecOps 插件框架及OpenC2 開放接口，使得SOAR的技術(shù)體系成為一個(gè)開放的生態(tài)體系。 在此技術(shù)體系的基礎(chǔ)上，提出統(tǒng)一空間協(xié)同作戰(zhàn)的可行性。 由于安全運(yùn)營(yíng)從分析、取證到響應(yīng)是一個(gè)非常復(fù)雜的信息循環(huán)及再利用的過(guò)程，因此，未來(lái)安全運(yùn)營(yíng)自動(dòng)化的構(gòu)建必然基于全方位的SOAR 安全技術(shù)體系，利用多維空間協(xié)同的安全編排定義，基于編排后的自動(dòng)化分析、取證及響應(yīng)的協(xié)同進(jìn)行實(shí)時(shí)改進(jìn)。