下一代安全運營中心之智能安全編排

0x00、前言

網路安全市場永遠不缺新概念，最近幾年Gartner 在安全領域又拋出了MDR、xDR、Next-Gen SOC、MSSP等概念。但是這概念和產品最終的目的是降低我們處理企業安全風險的處理速度和成本。可以通過MTTI（Mean Time to identify）和 MTTR（Mean Time to Response）來衡量其效果。

經過公有雲線上應急響應的實踐得出，發現風險的能力在安全產品化方面已經足夠完善（需要提升的地方是關聯分析能力），大部分時間都浪費在安全事件響應，也就是MTTR過低。這時，智能的安全編排技術浮出了水面。

0x01、競品分析

根據gartner報告：Market Guide for Security Orchestration, Automation and Response Solutions

Resilient：

企業應急響應挑戰：

1、根據對IBM服務的用戶調研，發現77%用戶組織中沒有或者很難僱傭具備一定安全分析能力的專家。

2、在安全預算不變的情況下，65%的用戶攻擊事件有明顯的增加。

3、複雜的安全合規訴求，例如：GDPR，複雜SOC平台運營，例如：Symantec SOC 平均有75個工具需要操作。

主要強調的理念和產品特點：

1、嚮導化響應規則：客戶動態定製劇本和工作流程，連接人、流程、技術。

2、提升的可見性。

3、更好的合規。

主要關注在對第三方App的集成方面

與工作流集成方面

Phantom: 是目前SOAR市面上產品方面做的最好的產品，splunk的收購也證明了它的價值。

企業應急響應挑戰：

1、處理複雜的安全問題，需要協調來至很多安全供應商採購的大量的產品產品，會碰到一大堆相關的技術問題，MTTR一般都超過24小時。

2、無法量化自己企業的安全風險，源於不斷擴大的攻擊面和龐大威脅數量，同時人員和預算有限。

主要強調的理念和產品特點：

1、Phantom集成了你團隊，流程、工具。

2、可自動執行重複性的任務，可讓安全分析人員專註在其他關鍵的任務問題上。

3、同時，還提供事件案例管理庫，並且幫助大家從實戰經驗中培訓你的團隊。

Demisto：2019年2月被Palo Alto Networks以5.6億美元收購

主要功能以及特點：

1、抽取數據，Demisto集成在Palo Alto Application framework 中，更方便的抽取網路層面的安全數據。

2、觸發自動安全劇本（playbook）。

3、可關聯的作戰室，做深入調查。（用戶可查看任務的執行的過程中的結果）

4、統一的工作流（可交互不同的安全產品）。

Application framework集成

Siemplify:於2015年在以色列特拉維夫成立。

企業面臨的挑戰

1、Alert overload 告警過載

目前企業中出現了很多新的安全檢測技術，XDR、EDR、NTA等會發現很多疑似入侵的可疑事件，這樣就增加了告警的數量，安全分析人員無法有效的對每一個報警做分析，更過分的是安全工程師忙了一個晚上分析，發現是誤報。

2、Disparate Tools 不同的工具

會看到很多安全產品界面，SEIM、TIP、EDR、sandbox等，調查，分診，修復。不能很好的融合到一起。

3、manual processes 手工流程

很多大公司安全業務流程都是手工的，並且沒有良好的記錄。如果離開組織，整個分析過程是無法繼承和被傳遞的。新來的人員是缺乏相關的培訓。

4、talent shortage 人才短缺

每年需要安全人才100~300萬之間，重複性的工作可以通過程序完成，安全分析人員把寶貴的時間用在分析更有價值的安全事件上。

主要功能以及特點：

1、安全劇本：創建一個Appstore ,集成各家的安全工具的OpenAPI，並且構建一個貫穿始末的安全劇本（playbook），高級安全分析師以前需要手工執行的流程。

2、調查模塊：主要目的是要完成降低誤報，並且關閉告警事件。

3、可視化安全操作過程以及結果。

收益：

1、通過精心策劃的playbook，要比分析師手工工作提升3~10倍的效率。

2、響應時間更快，平均值塊了80%左右。

UEBA soar解決方案

logichub:

企業面臨的挑戰：

1、被告警淹沒，沒有把準確的告警和噪音分開。分類是一個單調乏味的事情。

2、誤報增加響應時間。

產品特點：

1、提升應急響應工作效率：

2、playbook，增加分數處理能力

Syncurity-IR Flow:

在產品層面沒有多大的創新點，但是規則方面可以學習。

Komand: 2017年7月收購了SOAR供應商Komand

在產品層面沒有多大的創新點，但是UI方面可以學習。

0x02、SOAR未來

1、SOAR可以成為組織實現多個目標的中心樞紐：從SIEM或其他安全控制監控事件; 編排不同的安全產品來構建上下文; 幫助確定多個並發項目和事件的優先順序; 然後推動響應。

2、SOAR還處於早期階段。然而，提高SOC活動的效率和一致性以及能夠為託管安全服務（MSS）客戶提供更多定製流程的承諾是令人信服的。一些託管安全服務提供商（MSSP）已認真採用SOAR技術，並將其嵌入其交付平台的核心。

3、雲安全廠商會逐步集成SOAR到自己的安全解決方案中，而且可打通雲平台相關OpenAPI資源。例如：vm、docker、安全組、oss、rds等。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！