SOAR还面临着一条很难跨越的鸿沟

时间:2023-03-25 18:30:20 阅读: 最新文章 文档下载
说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。
SOAR还面临着一条很难跨越的鸿沟

如果问当前安全圈儿热点的话,SOAR无疑算是炙手可热的一个。相比当年威胁情报、态势感知的火爆,一点也毫不逊色。SOAR相关的创新产品、科普知识和媒体宣传铺天盖地,但传达出来都是“积极”、“乐观”的高大上信息,似乎从来没有关于应用SOAR面临的困难与困惑的内容。这说明SOAR目前只是在试水阶段,而缺乏真正的实践效果。客观上来讲,安全运营需要向前继续发展,就要有相应的技术创新来进行牵引,向前发展之后应该出现SOAR。而现在是把安全运营向前发展寄托在SOAR上,希望通过SOAR起到牵引作用。简单来讲就是,SOAR应该是安全运营发展的结果,而不是目标。于这个观点,今天随意漫谈一下个人看法,有可能对,也可能不对,请各位看官姑妄听之。不针对任何产品与事件,只是记录一下所思所得,以便过几年再回来,看看自己的理解是否准确。

SOAR如何定位?

SOAR最初(2015年)被Gartner定义为安全运营、分析与报告Security OperationsAnalyticsReporting)。

2017GartnerSOAR进行重新定义,变成了现在广为人知的安全编排、自动化与响应(Security Orchestration, Automation and Response)。

GartnerSOARSOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。

对比来看,对于安全运营最为关键的安全分析(Analytics)没有单独体现,我猜可能是Gartner认为安全分析(Analytics)应该是SIEM应该做的事情,或者是将安全分析(Analytics)包含在了安全事件响应(SIR)中了。

SOAR整合要素中含有威胁情报平台(TIP)来看,将安全分析Analytics)默认包含在了安全事件响应(SIR)中,这种可能性似乎更大一些。

这条鸿沟是什么?


安全事件响应(SIR)接受SIEM数据、威胁情报(TIP)数据及其它上下文信息,综合分析判定安全事件(Incident)的影响程度及可能性,并决策是否需要进行处置。而安全编排和自动化(SOA)只是接收安全事件响应(SIR)的命令,按既定的剧本与安全设备或系统联动,进行自动化的处置。由此可见,SOAR的核心及难点是安全事件响应(SIR),而不是一直被捧吹的安全编排和自动化(SOA)。以说安全事件响应(SIR)是智囊,运筹帷幄帐中、决胜千里之外;安全编排和自动化(SOA)则是作战机要办公室,按既有命令制定并传达作战计划。那为什么SOAR产品大部分都不太提分析与决策,重点强调编排与自动化响应呢?因为安全分析与决策,像一道难以跨越的鸿沟,SIEM产品难以解决,SOAR产品也不愿面对。

为什么难以跨越?

抛开产品技术不谈,让我们回到安全分析与决策的实质,面对海量的安全数据,只有分析提炼出有价值的情报来辅助决策,进而才能进行正确的处置。

从风险管理的角度来说,作为海量安全数据的事件(Event)只代Alert)。与事件(Event)相比,告警(Alert)数量从亿万条减少了千百条,同时告警(Alert)具有了严重程度(比如高中低)。单条告警(Alert)程度并不能作为处置的决策,以时间前后进行排序也无法体现处置的优先级。告警(Alert)还需要进一步加工聚合,形成体IncidentIncident)需要从数量、准确性以及上下文信息丰富性,都应该比告警(Alert)有明显的改善才可以,起码要达到人为(甚至是机器)可以逐条判定与决策的程度。达到了安全事件(Incident)的良好效果,通过研判决策剔除结果通知类事件(如成功拦截事件),剩下的IncidentAccident这条鸿沟为什么难以跨越非常明显,就是如何聚合以IncidentIncident)需要如何处置。


本文来源:https://www.wddqw.com/doc/e658fe05ac45b307e87101f69e3143323968f504.html