0. 为什么需要SOAR?
一个组织每天都暴漏在无数的网络安全威胁之中。就拿高校来说,可能的威胁有:持续的钓鱼式攻击(比如phishing email:诱使教职工学生暴漏自己的私人信息)、泄漏账户、非法下载等等。这些威胁可以通过高校的安全运营中心(SOC)来减少: 就拿phishing email来说,可以通过分析邮件的IP地址、URL、发件人、邮件内容、附件来判断邮件是不是有威胁的。有很多工具可以查看IP是不是在DNS黑名单里:比如ASN(https://www.whatismyip.com/blacklist-check/), 如果这封邮件包含有问题的IP,那么这封邮件可能本身也有问题。一旦查明这个邮件确实有问题,那么技术人员就需要block这个发件人/这个IP,防止学校教职工学生收到来自于它的邮件,而如何去block一个发件人就依赖于学校用的是什么邮箱系统了。
高校是一个很小的例子,实际上任何一个组织的SOC需要都24小时监控、分析关于组织的安全态势。而分析的对象就是来自于组织的各种日志:Networks、Servers、Containers、Cloud infrastructure、Applications、Application infrastructure、Message Bus (Kafka)、Load balancers。这给SOC增加了极大的工作量:
- 这些日志可能来自不同的监控工具,这意味着SOC要同时打开这些监控工具来实时监控。
- 由于这些log来自于不同工具, 那么他们产生的log的格式也有所不同。所以SOC的工作质量极大的依赖于技术人员的水平。
- 组织产生的log可能每天会产生成百上千条,但是其中真正需要人工判断和干预的log可能被淹没在大量无关紧要的log里。
- 当出现了需要干预的log后,技术人员需要人工检查这个log是不是真的指向了一个安全问题。
- 安全人员还要进一步选择响应措施,实施响应,这些响应的工具也都需要一一手动操作。
- 以上这些检测和响应的步骤并没有自动化处理,也就是说就算是出现了同种类型的log,技术人员不得不重新走一次检测和响应的流程。
所以我们需要:统一控制台、 集中日志管理(统一监控)、统一日志格式、减少需要人工检查的log、合并监测/响应工具、自动响应等等。
1. 什么是SOAR?
- 和SIEM的关系:SIEM全称是Security Information and Event Management, 它把组织的各种log集中到一个控制面板里,并且normalize了这些log方便技术人员监测。SIEM的出现解决了统一控制台、 集中日志管理(统一监控)、统一日志格式的问题,并在一定程度上减少了需要人工检查的log(比如sumo logic,sumo提供了工具来把可疑的log转换成alert,100条log可能最终只产生一条alert,减少了人工工作量)。 然而,SIEM并没有解决合并监测/响应工具和自动化响应的问题, SOAR应运而生。
- 概念:SOAR这个概念是由Gartner公司提出的: “the collection of disparate technologies that enable businesses to gather data and security alerts from different sources. The business can then conduct threat analysis and remediation processes by utilizing both machines and manpower together to assist in defining, prioritizing and driving standardized Incident Response (IR) activities according to a standard workflow”。用标准化的工作流程,收集不同来源的数据和警报,分析并进行进行标准化事件响应。SOAR名字里的Orchestration(管弦乐编曲),是在说SOAR结合了不同技术,对他们进行(顺序)编排,形成标准化workflow(工作流程)。
比如Phishing email workflow:
实际上一个SOAR产品可能有上百个workflow,每种workflow可能用来检测/分析/响应不同的事件。除了workflow,很多公司也利用ML/AI来协助用户分析数据。
2. 谁在提供SOAR产品?
近几年SOAR产品的市场越来越大,而且有望在2025年达到$2.3billion1 。Top 10的公司有:
- LogRhythm
- RSA
- DFLabs
- Splunk
- FireEye
- Swimlane
- Rapid7: https://www.rapid7.com/products/insightconnect/
- Ayehu
- CyberSponse
- ThreatConnect
这里面很多公司都是本身有自己的SIEM产品,在此之上推出的SOAR。
to be continued…
-
https://www.researchandmarkets.com/reports/4849021/global-security-orchestration-automation-and?utm_source=BW&utm_medium=PressRelease&utm_code=vxbht9&utm_campaign=1309856±+Analysis+on+Security+Orchestration+Automation+%26+Response+(SOAR)+Markets+to+2025±+World+Market+Set+to+Rise+at+a+CAGR+of+16.3%25+During+2019-2025&utm_exec=joca220prd ↩︎