企業動態

近日，奇安信&Gartner最新白皮書《安全運行迎來SOAR時代》（下文簡稱《白皮書》）正式發佈。

《白皮書》顯示，隨着網絡空間安全對抗的持續升級，當前企業和組織的安全運行工作在人員組織、告警處置、快速響應、知識沉澱、整合協作五個方面面臨的挑戰越來越突出，安全運行呈現安全能力編排化、安全流程自動化、安全運行臂閉環化的趨勢。為了應對這些挑戰，安全編排自動化與響應（SOAR）應運而生，安全運行迎來SOAR時代。

安全運行面臨挑戰

（網絡空間）安全運行是一系列操作級別的日常安全活動的統稱，它是一個整合相關的流程、技術、人員和服務，對企業和組織中網絡空間資產的安全要素信息（資產、弱點、威脅、風險、情報等）進行持續地感知、監測、預警、告警、分析和響應、恢復，並不斷優化的過程，是安全保障體系的重要組成部分，是安全管理的基礎支撐。

安全管理工作能否落實到位關鍵在於日常安全運行工作的成效。

為了實現有效的安全運行，雖然企業和組織進行了大量的投入，但隨着網絡空間安全形勢日趨惡化，現有的安全運行依然面臨諸多挑戰：

⒈安全運行人員緊缺且僅技能不足。

⒉告警多，處理效率低。

⒊安全檢測、響應與修復的時間長。

⒋知識難以轉化。

進一步探尋內在的原因，可以將當前安全運行面臨的問題歸結為以下幾點：

⒈碎片化現象嚴重，工作存在大量斷點，效率難以提升。

⒉有效的安全運行流程要麼缺乏，要麼難以順暢高效地將人和工具連接起來。

⒊工具的人機交互體驗感差，工具之間缺乏整合。

綜上所述，企業和組織急需一套真正整合人員、流程和工具的安全運行平台。

安全運行三大趨勢

隨着網絡空間安全對抗的持續升級，當前企業和組織的安全運行工作在人員組織、告警處置、快速響應、知識沉澱、整合協作五個方面面臨的挑戰越來越突出。為了應對這些挑戰，新的思路和技術不斷湧現，凸顯了未來安全運行發展的三個新趨勢。

趨勢一：安全能力編排化
為應對層出不窮的安全威脅，安全能力編排化已經成為未來安全運行的重要趨勢。藉助安全編排技術，可以對安全運行流程進行形式化地描述，並映射到安全能力以及安全運行參與者上，促成人與人、人與工具、工具與工具之間的有機協作，同時也促成安全運行流程的知識轉化。

趨勢二：安全流程自動化
從運行視角出發，基於端到端的安全運行流程自動化是建立在當前分散的安全技術自動化基礎之上的，表現為安全流程自動化與安全流程編排化相互結合。

趨勢三：安全運行閉環化
不論是經典的防護、檢測與響應（俗稱PDR）體系，還是NIST的網絡安全框架（CSF）定義的IPDRR六階段，都將閉環化視為一個基本的安全架構設計原則。可以預見，安全運行的未來重要趨勢之一是增加對安全響應的投入，而安全編排與自動化將首先應用於安全響應。

SOAR應運而生

為了應對安全運行面臨的挑戰，順應安全運行未來發展的新趨勢，SOAR（Security Orchestration, Automation and Response，安全編排自動化與響應）應運而生

Gartner將SOAR定義為“一種從各種來源獲取輸入，並應用工作流來處理各種安全過程與規程，從而為安全運行人員提供機器協助的解決方案。這些過程和規程可以被編排（通過與其它技術的集成）並自動執行以達成預期結果，譬如分診管理，事件響應，威脅情報，合規性管理和威脅獵捕”。

奇安信SOAR

奇安信SOAR是一個將安全運營相關的團隊、工具和流程通過編排和自動化技術整合在一起的，有序處理多源數據，持續進行安全告警分診與調查、案例處置、協同作戰、事件響應，並最終實現高效、有效安全運營的智能協作系統。

奇安信SOAR具有以下顯著特徵：

• 面向SecOps，以高效、有效為目標；

• 以編排和自動化為核心；

• 智能化協作運行系統；

• 關鍵功能包括安全告警分診與調查、案例管理、作戰室、事件響應、劇本與應用管理；

• 實現了團隊、工具和流程的無縫整合。

系統功能架構

奇安信SOAR的功能架構如下圖所示：

圖 奇安信SOAR功能架構

系統功能總體上分為6個部分，分別是：安全編排與自動化、告警管理、案例管理、作戰室、運營績效管理和工單管理。

其中：

安全編排與自動化功能是系統的核心功能，實現了安全能力的集成、安全流程的編排與自動化執行，包括劇本管理、編排器和應用管理功能；

作戰室功能則提供了一套面向安全運營人員的協同化響應處置工具，整合應用、劇本和應對措施，針對重要案例，以聊天運營的方式進行實時溝通與響應處置，促進團隊協作、貼近實戰，並能生成作戰報告，便於覆盤和總結提升。

系統用户視圖

從用户視角來看，系統包括了5種使用者，分別是：流程設計與劇本編制人員、應用開發人員、運維人員、協作團隊、安全領導。

其中：

流程設計與劇本編制人員負責將傳統的安全運行流程和規程轉換為SOAR平台可識別的編排化劇本和任務；

協作團隊指與企業和組織安全運行團隊在安全運行過程中的利益共擔方。

圖 奇安信SOAR用户視圖

奇安信SOAR的關鍵能力

奇安信SOAR具備區別於其它同類產品的5大關鍵能力——安全能力編排化、安全流程自動化、告警響應智能化、案件管理全程化、系統架構開放化。

1）安全能力編排化
安全能力編排化（Orchestration）是指系統一方面可以通過自底向上地通過安全設備接口化和安全接口應用化實現安全應用編排化；另一方面則自頂向下地將安全運行團隊的安全運行過程和規程進行形式化落地，實現運行過程的劇本化。最後，藉助運行過程劇本化和安全應用編排化，實現安全能力的集成與編排，併為安全流程的自動化執行奠定基礎。

通過安全能力編排化，真正實現了將不同的設備和系統協同聯動起來的目標，就像一個交響樂隊的指揮。

2）安全流程自動化

安全流程自動化（Automation）是指安全運行流程與規程儘可能地自動化執行，從而大大提升安全流程的執行效率，並確保能夠持續達成預期的效果。

奇安信SOAR的安全流程自動化包括：自動化告警分診、自動化安全響應、自動化劇本執行、自動化應用執行、自動化案件處置、自動化服務調用。

3）告警響應智能化

對來自企業和組織的各種告警信息進行基於編排與自動化的響應是SOAR的基本能力。此外，系統還提供了智能化告警響應的能力，進一步提升了告警響應的精準度和有效性。

奇安信SOAR的告警響應智能化體現在智能告警分診、智能告警調查和智能告警響應三個方面。

4）案例管理全程化

案例管理（Case Management，也稱作案件管理）是指一組人針對一系列相關的安全事件按照預先設定的規程，進行專門地持續調查與響應的協作過程，以及這個過程中產生的各種情境數據與痕跡物證的管理，還有過程本身的全生命週期活動記錄。

奇安信SOAR具有完整的案件管理功能，實現了基於案件的全生命週期響應處置，編排化案件協同調查分析與痕跡管理，案件處理全過程記錄與覆盤，以及團隊協作的實時作戰室。

5）系統架構開放化

作為一個對企業和組織現有以及未來可能具有的安全能力進行集成和編排的系統，其自身的系統架構開放性至關重要。只有開放性的系統架構才能確保企業和組織安全編排與自動化的需求能夠持續得到滿足。

奇安信SOAR產品在系統架構層面採用了開放可擴展的應用集成框架，基於API的雙向集成、支持多種協議接口、支持OpenC2，提供開放的對外接口。

結論

藉助安全編排與自動化解決方案，能夠幫助企業和組織將繁雜的安全運行（尤其是安全響應）過程梳理為任務和劇本，將分散的安全工具與功能轉化為可編程的應用和動作，然後藉助編排和自動化技術，將團隊、工具和流程的高度協同起來，從而有力支撐起實戰化安全運行能力的建設。

SOAR重點幫助企業和組織解決安全運行響應人員匱乏、安全告警多、安全事件響應不及時、重複性運維工作多、安全設備之間缺乏協同且聯動性差等導致安全運行人員工作壓力大、運行效率低下、運行效果難以度量的問題。

以編排為核心，充分地使用自動化技術手段，將人、技術和流程協同起來，並應用到防護、檢測與響應的每個環節，實現閉環，提升效率，是未來安全運行能力的關鍵組成部分。

安全運行正迎來SOAR時代，你準備好了嗎？