SOAR介紹：

概述:

SOAR(Security Orchestration,Automation and Response)，簡(jiǎn)單字面來(lái)講就是安全編排、安全自動(dòng)化、安全響應(yīng)。人們往往忽略了威脅情報(bào)(Threat intelligence)。

實(shí)際上根據(jù)Gartner的定義，一個(gè)優(yōu)秀的SOAR會(huì)將事件響應(yīng)、劇本編排、自動(dòng)化、威脅情報(bào)、記錄、工作流程集成在一個(gè)平臺(tái)上。

安全分析師通過(guò)平臺(tái)根據(jù)自身的經(jīng)驗(yàn)，進(jìn)行場(chǎng)景分析，然后劇本設(shè)計(jì)，將流程固化，工作標(biāo)準(zhǔn)化；從而輔助安全工作開展分析，運(yùn)營(yíng)，處置，響應(yīng)。

過(guò)多的概念性知識(shí)就不再贅述了，Google搜搜或者找兩個(gè)產(chǎn)品的白皮書，文章大把。

SOAR的價(jià)值：

1、安全設(shè)備集中化。

這里的意思并不是通過(guò)SOAR進(jìn)行集中管理安全設(shè)備，而是通過(guò)SOAR平臺(tái)將所需安全設(shè)備的功能集中起來(lái)，并且這樣可以按實(shí)際日常工作流程中，按需調(diào)用你需要的功能。

2、節(jié)省工作時(shí)間。

SOAR是通過(guò)代碼實(shí)現(xiàn)自動(dòng)化工作流程，會(huì)減少你工作中某些機(jī)械工作所耗掉的時(shí)間，這個(gè)不必多說(shuō)。老生常談的場(chǎng)景:封禁IP。

3、打通與其他部門協(xié)作。

一般在某些大企業(yè)里，基礎(chǔ)設(shè)施部，安全運(yùn)營(yíng)部，這個(gè)部，那個(gè)部，其實(shí)有些時(shí)候并沒有想象中那么容易推進(jìn)。工作越久越發(fā)現(xiàn)內(nèi)部往往是最難推動(dòng)的，恰恰有時(shí)和外部溝通很容易。:(

舉個(gè)例子，比如我需要封許多IP,可能想象中其實(shí)就是防火墻的一條Deny安全策略，地址對(duì)象里錄一些IP，其實(shí)不復(fù)雜，但是一次兩次很容易，三次四次可能就不是那么好推動(dòng)。只是打個(gè)比方，大家懂表達(dá)的意思即可。

4、提升工作效率。

通過(guò)SOAR打通其他安全設(shè)備，可以輔助安全工作開展。

例如：IP信譽(yù)查詢；批量處置安全事件；安全事件的告警通知；終端安全掃描；主機(jī)斷網(wǎng)下線；工單下發(fā)等等。

將工作中某些流程進(jìn)行融合，提升工作效率。

5、靈活編排設(shè)計(jì)。

根據(jù)場(chǎng)景中需要解決的問(wèn)題，選擇對(duì)接不同安全設(shè)備，自定義條件邏輯判斷，編排劇本流程。

SOAR的總結(jié)：

結(jié)合目前工作中體驗(yàn)，SOAR其實(shí)可以簡(jiǎn)要概括四個(gè)模塊。

SOAR的模塊分類：

• 輸入
• 劇本
• 輸出
• 應(yīng)用

SOAR的應(yīng)用場(chǎng)景分類：

• 自動(dòng)化
• 半自動(dòng)化

之所以會(huì)分為自動(dòng)化與半自動(dòng)化，是由于某些場(chǎng)景由于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的考慮或輸入的限制，導(dǎo)致需要不能完全依賴于自動(dòng)流程，需要人工分析處置或流程審批。

SOAR的劇本設(shè)計(jì)：

SOAR的主要應(yīng)用場(chǎng)景：

運(yùn)維：

• 設(shè)備改密
• 終端斷網(wǎng)
• 郵件通知
• 系統(tǒng)監(jiān)控
• 安全設(shè)備運(yùn)維
• ……

安全：

• IP信譽(yù)查詢
• 封禁IP
• 終端病毒掃描
• 資產(chǎn)發(fā)現(xiàn)
• ……

SOAR的劇本設(shè)計(jì)流程：

1. 熟悉企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)與策略，溝通討論構(gòu)想的劇本中是否會(huì)帶來(lái)安全隱患或安全事故。
2. 了解或熟悉上游輸入的基本信息和能力。
3. 了解或熟悉下游接受輸出應(yīng)用的基本信息和能力。
4. 根據(jù)編排的劇本，溝通各方需要提供的接口和工作，討論劇本中某些環(huán)節(jié)的合理性。
5. 就劇本中的細(xì)節(jié)達(dá)成共識(shí)，打通上下游。
6. 申請(qǐng)網(wǎng)絡(luò)策略，測(cè)試運(yùn)行一段時(shí)間，觀察實(shí)際效果。
7. 按需調(diào)整劇本的實(shí)際需求。
8. 上線。

SOAR的劇本舉例：

老生常談，封IP。

可能你覺得這個(gè)沒難度，簡(jiǎn)單。但是這個(gè)是最實(shí)用的。往往實(shí)用的才是最好的。

PS：這個(gè)劇本筆者在設(shè)計(jì)時(shí)候，默認(rèn)已與網(wǎng)絡(luò)部門達(dá)成共識(shí)，提前規(guī)定好Deny的安全策略置頂，并且協(xié)商好地址對(duì)象的名稱格式。所以就沒涉及封禁策略與其他安全策略間會(huì)不會(huì)有優(yōu)先級(jí)沖突或策略交叉的情景。

其實(shí)對(duì)照這個(gè)劇本，你可以發(fā)現(xiàn)一個(gè)簡(jiǎn)單的IP封禁,其實(shí)涉及了：

• 你要對(duì)防火墻功能有一定的了解,例如地址對(duì)象，安全策略等。
• 還需要調(diào)研防火墻能提供的能力，也就是下游接受輸出應(yīng)用的能力。

例如：地址對(duì)象的上限數(shù)量,地址組的上限。（一般地址對(duì)象上限4096，但是也有不一般的，例如某XXX，地址對(duì)象的上限128個(gè)……）

• 也還需要調(diào)研上游輸入的基本信息。

例如：是否需要手工輸入IP封禁或者直接取某些精準(zhǔn)告警的IP，那可能輸入的最大值是多少，防火墻這個(gè)接口并發(fā)是否支持同時(shí)寫入這么多的IP到地址對(duì)象中?

• 溝通各方所需要的接口和工作，溝通某些環(huán)節(jié)的合理性。

舉一個(gè)例子：下午向研發(fā)同事請(qǐng)教他的經(jīng)驗(yàn)。我才了解到，實(shí)際有時(shí)候接到的需求根本不會(huì)對(duì)地址對(duì)象的上限做校驗(yàn)，實(shí)際上就是無(wú)腦地將IP寫入地址對(duì)象中。當(dāng)時(shí)我覺得這樣不是很合理，所以我問(wèn)：“那地址對(duì)象如果上限了，怎么辦？？？直接會(huì)判斷新建地址對(duì)象寫入？”他給我的回答是：”寫不下就直接報(bào)錯(cuò)唄。其實(shí)往往實(shí)際上不是我不想做校驗(yàn)，是有的防火墻的接口壓根不給我這個(gè)查詢的權(quán)限，我也沒有辦法。:(  “

所以設(shè)計(jì)劇本時(shí)候，需要多想想這個(gè)劇本中某些環(huán)節(jié)的合理性。

• 按需調(diào)整劇本的實(shí)際需求。

• 整體劇本測(cè)試跑通后，我的實(shí)際需求是否需要延伸或調(diào)整？

• 例如：我如果支持手工寫入IP,那是否需要支持使用文本批量導(dǎo)入IP?
• 例如：我是否需要一個(gè)解封IP的前端功能？
• 例如：我是否需要一個(gè)容錯(cuò)機(jī)制，當(dāng)防火墻接口網(wǎng)絡(luò)抖動(dòng)或者多次調(diào)用失敗時(shí)，是否需要封禁到WAF上？
• 例如：我的實(shí)際網(wǎng)絡(luò)中防火墻是三層主主模式？我是否需要考慮當(dāng)這個(gè)主網(wǎng)絡(luò)不可達(dá)時(shí)，封禁到另一個(gè)防火墻上？（只是舉個(gè)例子，勿噴，實(shí)際場(chǎng)景中，還是三層主備多一些。）

劇本設(shè)計(jì)的注意事項(xiàng)：

1. 別人的劇本不一定適合你，應(yīng)該想想日常運(yùn)營(yíng)那些環(huán)節(jié)自動(dòng)化或者半自動(dòng)化能提升你的效率再去設(shè)計(jì)。不要為了有而有，這樣就舍本逐末了。
2. 某些劇本可以結(jié)合內(nèi)部的規(guī)章制度來(lái)設(shè)計(jì)。
3. 設(shè)計(jì)劇本時(shí)要盡可能發(fā)散一些糟糕的場(chǎng)景，通過(guò)糟糕的場(chǎng)景去延伸覆蓋設(shè)計(jì)，慢慢精細(xì)化劇本。
4. 劇本設(shè)計(jì)要兼顧考慮上下游輸入和輸出的能力，初期設(shè)計(jì)請(qǐng)盡可能降低預(yù)期，流程跑通后，提高要求。
5. 多思考這個(gè)劇本場(chǎng)景下，是否需要逃生或容錯(cuò)的機(jī)制。
6. 設(shè)計(jì)劇本時(shí)一定要多考慮下是否會(huì)帶來(lái)業(yè)務(wù)風(fēng)或安全事故，多想想總歸是好的。
7. 不要過(guò)于理想化，你設(shè)計(jì)出來(lái)的劇本，一定要是你見過(guò)的流程?。ㄒ粋€(gè)國(guó)外大佬視頻的觀點(diǎn)，筆者覺得非常有道理。）

總結(jié)：

產(chǎn)品只是輔助提升人們工作效率的工具，最重要的還是人、工具、流程的結(jié)合。其實(shí)并沒有垃圾的工具，只要我們物盡其用！

PS：非常感謝你能看到這里。

筆者工作時(shí)間并不長(zhǎng)，還是個(gè)孩子，某些寫的不對(duì)的地方輕噴哈，歡迎一起交流討論，:)

本文作者：毛驢席地而坐， 轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM