基于Soar的企业安全自动化响应解决方案

袁宏亮

摘要：日前企业安全运营中心的安全事件日益增多，占据了安全工程师大量的时间，导致安全响应时间长、人工介入多，相关处理过程难以定量评估。本文将从Soar技术的原理和应用案例浅析在安全管理当中的安全编排、自动化与响应解决方案。

关键词：安全运营;自动化响应;Soar

一、企业安全现状

随着网络安全行业日益火热，各类网络黑客技术和工具也越来越多，普通程序员利用网络上共享的安全工具就可以十分快捷的上线并进行网络攻击活动。例如，微软官方于2020年3月公布了CVE-2020-0796漏洞，提示用户SMB服务存在远程代码执行高危漏洞。仅在漏洞公布不久，相应POC漏洞利用工具已经出现在github平台上，仅需安装python运行环境即可运行攻击脚本发起网络攻击。由此可见，网络安全攻击者攻击成本日益降低，安全事件数量增长率日益高涨。

目前一般大中型企业都已经建立了相对比较完备的安全运营中心（下称为SOC），在SOC的运营过程中经常会遇到以下问题：

（一）大量的安全事件需要安全工程师介入，安全工程师分析的时间被许多无关紧要的事件消耗。导致安全响应执行过程、响应时间长，人工介入多，安全工作无法闭环。

（二）安全运营内包括多维度的调查取证、漏洞验证、安全策略变更等，需跨多系统多部门同步协作，导致安全闭环推进成本增加。

（三）一次常规的事件响应，至少涉及10个以上系统或程序，安全人员自身感觉耗时耗力，安全应急严重依赖人工操作。

二、Soar定义

Soar技术全称是 Security Orchestration， Automation and Response，安全编排和自动化响应，是Gartner2017年提出的概念。Soar的产生就是为了解决以上提到的各类SOC运营问题，主要包括以下几个方面：

（一）Orchestration，编排。与过去相比，现在的安全运营中心需要整合大量的系统，要满足这些需求，必然需要的提供丰富的事件响应与处理编排能力，可以进行流程定制，流程执行。

（二）Automation，自动化。当前安全分析师工作量和内容都大大增加。数据是海量的数据，大量的数据需要使用自动化方式去处理。

（三）合理的KPI评估体系。系统提供编排与自动化执行能力，根据评估结果，可以进行流程再造，优化我们的编排内容，带来整个SOC的效率提升。

因此结合Soar定义，我们可以将目标确定为减少人工参与，固化处理流程，融合人工智能，加快威胁响应，及时减少损失。

三、Soar平台联动架构

我们将Soar与人工智能、RPA等多项工具融合，可以实现在智能安全编排、自动化响应过程中的多项应用。其在SOC中的运行架构可用下图表示。

在收到一些威胁情报或攻击检测等之后，会出发Soar平台的告警阈值，平台依据原本安排好的决策剧本进行智能决策，迅速响应同步至各大平台，在安全产品上完成信息同步，在网络产品上更新策略信息以及在各類It系统中完成响应防御操作，为防护方争取较多的时间。

Soar与机器学习等技术相结合，可实现人机协同作战的应用场景。通过给平台提供相近领域的样本训练，平台基于历史数据借助机器学习算法进行统计模拟后，可实现持续的“自学习、自优化”实现安全运营可持续优化。安全工程师可通过文字方式给平台机器人下达执行，平台通过机器学习、语境关联自动反馈安全建议。平台也可以基于安全事件、威胁情报等自动化生成脚本，并结合人工验证的方式最后一键全部部署，完成了安全事件和威胁情报下人机的协同作战。

四、应用案例

以下分享基于Soar实现封锁清除失陷主机并加固的流程：

平台在检测到类似漏洞信息后，开始分析流程，对靶机进行判断检测，判断如确认遭受漏洞攻击，系统自动流转到处置环节开启全境扫描封锁。对于确认未感染的机器，平台直接完成补丁加固或规避方案;对已经感染的主机统一进行网络访问控制ACL隔离、删除响应定时任务和可疑文件等操作，防止被感染靶机横向扩散。在检测过程中，如若确定威胁误判，系统可自动生成运维工单，提醒安全工程师对规则进行补充和更新，减少误报频率。

五、小结

Soar平台可以企业SOC运营降低较多成本。传统一封钓鱼邮件可能需要1-2小时完成响应，建立平台后可在5-10分钟内进行溯源分析;传统封闭某个IP地址或网段需要网络工程师5-10分钟的操作时间，在搭建平台后可实现10秒内完成封禁。

作者简介：

袁宏亮（1995.09）男，湖北通城籍，本科学历，单位：兴业银行武汉分行信息科技部。