安全编排与自动化响应_SOAR_使用机器对抗机器
数十年的安全技术发展,人工处理安全事件的效率,已经无法解决先进攻击技术和物理设备性能提升带来的恶意攻击事件,比如高频扫描攻击(每秒数十万次)、海量攻击资源(数十万的IP)。
近几年体系化攻击框架( ATT&CK等)、高度集成攻击工具平台(Kali、MSF-Metasploit Framework、CS-Cobalt Strike等)、自动攻击框架(BAS、 CALDERA等)也有进一步的发展。
这迫使我们需要找到一种用魔法打败魔法的方法。
安全编排自动化与响应(Security Orchestration, Automation, and Response, SOAR),是一种通过将安全工具、流程、人员进行整合,从而实现网络安全事件的“检测-分析-响应”全流程自动化的有效方法,通过将安全事件处置的全过程,编制为标准化的自动化工作流(workflow)或剧本(playbook),将安全事件的平均响应事件大幅度缩短。
SOAR的本质:安全决策自动化
SOAR的效果,需要预先通过定义安全事件的特征值,建立触发器,进而自动化决策,有三点好处:
- 高效,通过自动化脚本替代重复性人工操作,自动提取IP封禁,自动阻断恶意payload
- 标准,将常规攻击特征提取触发器,将常规相应流程编制为标准化、可复用的剧本(Playbook),从发现到决策标准化操作,用特征和共识解决多个安全专家不同视角下的研判分析过程信息干扰。
- 智能:直接联动安全设备、内部安全态势、外部安全情报,实现多维度研判。
技术架构
高覆盖率安全基础设施、标准化工作流、安全事件识别与标准化应对处置动作
核心组件与解析
-
安全设备编排(Orchestration)
- API优先设计,使用标准化接口联动各安全设备,确保能够获取消息、发起动作
- 日志泛化:标准化处置所有安全设备提交的安全日志,解决数据孤岛问题
-
资产与依赖关系建模,绘制安全工具依赖图,确保响应动作的正确性,避免误封
-
自动化(Automation)
- 剧本(Playbook)设计
- 模块化:将复杂响应流程拆分为可复用的子任务,如提取IP、IP情报查询
- 条件分支:根据事件等级动态调整响应策略,如高危阻断,中危人工审核、低危忽略
- 错误处理:定义任务失败时的回滚机制(如防火墙规则下发失败时自动回退配置)。
-
响应(Response)
- 响应动作分类
类型 示例操作 自动化程度 即时响应 封禁IP、隔离主机容器、隔离文件、阻断会话 全自动,机器决策 通知决策 发送邮件、发送工单、发送卡片消息、机器人消息、短信 自动分析,人工决策 长期循环 升级、周期漏扫、周期安全报告、数据同步 人工审核 - 响应效果评估 MTTR(平均修复时间):从事件触发到响应完成的时间缩短
网络安全事件数减少