近日,以“护航数字文明 开创数字安全新时代”为主题的第十届互联网安全大会(ISC 2022)成功举办。未来智安(XDR SEC)产品经理刘晓受邀参加,分享了《SOAR:为XDR扩展威胁检测响应提供响应解决方案》特色主题演讲,为解决安全运营快速响应提供了新的技术思路。
大家好,我是未来智安的产品经理刘晓。北京未来智安科技有限公司是一家聚焦于XDR扩展威胁检测响应赛道的网络安全公司,我们也是国内第一个发布XDR的安全厂商。今天和大家分享的内容主题是《SOAR:为XDR扩展威胁检测响应提供响应解决方案》。
1. XDR扩展威胁检测响应
2. 安全运营快速响应
3. SOAR:安全运营快速响应解决方案
各类安全防护设备每天会产生大量的安全告警,使得安全分析人员绝大部分时间和精力都“消耗”在告警信息中,导致高价值的告警往往淹没在了海量告警当中,无法第一时间发现和阻断攻击,并且高价值的告警因为无法获得更多的攻击上下文而会被忽略,也错过了最佳的防御时间。
发现上报的告警,也面临着攻击溯源难的问题,比如看不清完整的攻击链路,缺乏全威胁的视角,黑客是怎么打进来的,利用了什么漏洞打进来的,先打了哪台主机,在主机上又做了什么事情,是怎么进行横向移动的,影响面有多大,又造成了什么损失,这一些都是在攻击溯源上面临的难点。
海量告警同时也带来了运营的压力,各个安全防护产品间的数据孤岛造成的分析需要在不同平台之间进行来回的切换,分析取证的路径长且耗时,缺乏自动化的分析、研判以及处置手段等等这些都造成了安全运营处置的效率低下。
面对新形势下的安全挑战,安全运营工作需要进一步的“左移”,需具备提前发现潜在风险,提前阻隔威胁的能力,需要细粒度且有效的安全度量能力和手段。
组织当中也会缺乏一些威胁全视角的检测,比如基于全流量的NDR威胁检测,存在看不到端点文件、进程、注册表等行为,缺乏端点视角;基于端点安全威胁检测,存在看不到网络行为数据,缺乏流量侧数据,造成了数据间的孤岛。攻击者也会通过绕过各种检测技术,给安全带来威胁和挑战,并且威胁总是在不断的演变,组织内网络安全高水平的人才短缺是常态,威胁检测工作高度依赖于网络安全防护产品。
面对这些威胁检测盲点和运营难点,该如何解决呢?
“X“,扩展性,指具备多维度扩展属性,强调由孤立式威胁检测到全面威胁检测的整体转变。
“D”,检测分析,指对数据的收集、处理与分析,强调以超越原有系统的速度更快、更准确地检测网络攻击活动,从根因分析、关联分析、事件化分析等维度展开安全事件的检测分析。
“R”,响应处置,与自动化紧密相关,强调以开箱即用的自动化操作快速应对各类繁琐枯燥的安全任务。
XDR通过对多源告警融合、基于规则的快速检测、全资产动态管控、事件化分析和处置等技术手段,提高威胁检测和响应的速度和精确度,为总体安全方案带来有效提升。
在威胁检测方面,能够覆盖终端、流量侧的威胁检测与响应,一个平台即实现跨多维的安全防护,能够有效帮助增强威胁检测和防护能力,消除威胁检测盲点。
在调查方面,结合丰富的遥测信息进行完整的攻击溯源,能够有效帮助组织提升威胁调查的全面性,能够让安全运营团队检测有效性提升100倍,使得安全运营工作聚焦在少量高价值攻击事件上。
在响应方面,跨端跨网络的快速分析、响应处置,能够有效帮助组织提升威胁响应效率,让安全运营效率提升8倍,实现分钟级的告警响应速度。
在面对海量的告警时,能够达到安全可运营的状态,具有高价值的场景挖掘能力,在安全分析层面具有焦点,不盲目分析、不因为海量告警而选择性放弃。具有攻击溯源取证、事件化的能力,能够看得清攻击的来龙去脉,构建从入侵到横向移动的完整攻击链条。具有自动化编排和响应能力,通过SOAR自动化编排技术将安全运营编排成可执行的工作流,有效释放安全运营效力,聚焦于高价值攻击场景。
SOAR这一概念,最早由Gartner在2015年提出,最初的定义是 Security Operations, Analytics and Reporting,即安全运维分析与报告。在 2017 年 Gartner 对 SOAR做了重新定义:Security Orchestration, Automation and Response, 即安全编排、自动化与响应,这才是现在广泛关注的 SOAR 的概念。进入2020年,SOAR被定义为是一类从各种来源获取输入,并应用工作流来拉通各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案,实现了人机协同。这些过程和规程可以被编排并自动执行以达成预期结果,譬如分诊管理、事件响应、威胁情报、合规性管理和威胁猎捕。
未来智安XDR在实践的过程中也对SOAR作了一系列的能力梳理。我们认为SOAR是一套将事件响应、编排与自动化,以及威胁情报平台的管理能力组合到一起的解决方案,通过从终端、流量、威胁情报等多元安全工具来获取告警、日志等遥测数据,并应用可编排的工作流来自动执行以处理各种安全运营场景下的应急响应任务或日常安全运维工作,从而实现安全运营工作的高效自动化和快速响应处置。
SOAR是一个具备智能协作的安全运营系统,面向的也是安全运维团队,以高效的实战化安全运营为目标,为团队进行赋能。也能够实现人与组织、流程、技术以及工具的整合。在这之间,“剧本”和“应用”是作为整合的纽带而存在的。
SOAR的编排指的是安全能力的编排化,而自动化则指的是安全运营过程的自动化,这两者的概念不同,但是紧密相关,共同构成了SOAR的核心能力。而响应处置能力当中,其实更加关注的是安全运营过程的自动化,从安全运营角度出发,将一个安全运营过程中涉及到的多个技术节点自动衔接起来,从而实现端到端的安全运营过程自动化。
例如在一些安全设备封禁场景中,一些安全告警事件上报后,通过智能的分析研判,能够自动触发预置的剧本,从而进入自动化响应处置流程。这样场景下的响应处置需要与第三方能力进行联动,才能真正完成对安全事件的处置,也是真正做到对安全事件从发现到分析、到快速响应处置的一个闭环管理。
未来智安提供了一套基于作战指挥室(WarRoom),并结合SOAR自动化安全编排能力的应急响应解决方案。XDR 作战指挥室,围绕着构建统一作战指挥平面,通过告警或安全事件触发而创建,统一进行安全事件运维或调度,可高效的管理、调度或派发针对某一安全事件的运维工作,譬如处理、跟踪、由系统管理员发起的各项安全运维工作,记录任务的执行情况,提供系统化、标准化的工作处理流程,用于部门间或团队间的高效工作协作。具有批量性、实效性等特点。未来智安XDR提供的SOAR编排化能力,可实现对突发网络安全事件,特定网络攻击等进行应急预案的制定,也能够实现突发事件的快速响应处置。