基于SOAR的安全运营自动化关键技术构建及未来演进方向研究.pdf

Industrial Technology Innovation目前，传统的安全运营自动化模式已经无法满足当下的安全需求。针对安全运营自动化模式目前的不足，国际上开始将其上升到了国家战略高度，并形成了一系列成熟的解决方案。在国外成熟的安全运营自动化解决方案中，安全运营自动化（SOAR）模式最为成熟。作为一种安全技术，SOAR 模式最早起源于 OEM企业，而后逐渐扩展至 SOP。作为一种安全管理技术和工具，SOAR 采用了动态安全模型管理原则。在基于SOAR 协议的安全运营自动化技术体系中最核心和关键要点就是“服务”概念，它涵盖了从系统与平台层开始形成用户级安全事件与威胁模型（SOAR）过程中出现的服务及运营事件（BYOD），最终在安全企业中实现对安全业务需求和运营风险进行管控，并针对不同安全领域对特定业务场景提供服务1。1 安全运营自动化的工作流程及核心概念SOAR 模式强调的是事件响应与自动识别，而不是传统的人工处置。具体来说可将 SOAR 过程分为五个阶段。一是需求和响应阶段：SOAR 的过程是建立安全服务模型过程。二是事件识别与处理阶段：安全服务模型将安全业务逻辑进行梳理和模型迭代的过程。三是威胁响应阶段：威胁响应由 BYOD 模型定义和建模。四是安全持续交付阶段：随着威胁检测能力的提升，安全服务模型将持续构建。五是安全产品与服务阶段：随着威胁检测能力的提升以及平台建设进程，业务系统变得更加复杂和庞大。最终导致安全产品与服务满足不了业务需求。因此，要满足业务发展需求、保证业务运营需求和满足产品及服务运营需求，必须建设符合业务和服务场景需要、具有持续交付能力、能够提供个性化定制化运维服务和产品体系的安全运营自动化平台。2 SOAR 流程与关键技术介绍目前，SOAR 模式的核心框架主要分为两部分：BYOD 模型和业务运营自动化模型。BYOD 模型主要是通过网络设备构建用户级安全事件与威胁模型，在模型中通过应用软件的运行环境对其进行配置、攻击、防护以及处置；而业务运营机器人则主要是通过事件发生的相关业务场景或者特定业务场景下的事件对网络设备进行识别。BYOD 模型能够实现对网络设备与网络环境中业务与服务间关联关系进行建模和描述。因此可以将服务和业务连接起来，形成 BYOD 模型，进而实现对网络设备、业务、流程等实体信息进行梳理和描述。业务运营机器人则会针对特定业务场景中服务实施防护。同时，业务运营机器人在使用过程中还可以进行基于服务间关联关系预测和基于服务风基于 SOAR 的安全运营自动化关键技术构建及未来演进方向研究*陈逍潇，周 鹏，钱经玮，周慧凯（国网浙江省电力有限公司信息通信分公司，浙江杭州310016）摘要：本文针对现有的安全可视化编排及自动化响应技术，提出将复杂的 APT 威胁场景、漏洞、自动化响应验证、关键基础设施合规管理等安全能力纳入到现有 SOAR（SecuityOrchestrationAutomationResponse）的可视化编排及响应中，极大地丰富并完善了 Gartner 提出的 SOAR 的安全编排及自动化响应的概念场景，大幅提升安全运营的效能和成熟度，通过 DevSecOps 开放架构及 OpenC2 开放式管控接口，自适应支持不同设备的数据接入及安全响应管控，构建围绕 SOAR 为主体的安全运营生态体系。在此基础上，提出安全运营自动化未来演进方向，即构建多人协同的统一空间协同作战体系，通过多人协同定义并改进安全分析及响应模型，迅速完成“安全策略、保护、检测和响应”的信息循环及信息再利用。关键词：SOAR；安全运营自动化；未来演进方向中图分类号：F407.67 文献标识码：A 文章编号：2096-6164（2023）03-0082-03*基金项目：国网浙江省电力有限公司 2022 年群众性科技创新项目“基于 SOAR 的网络攻击行为自动化编排及处置关键技术研究”，项目编号：5211XT22000C。作者简介：陈逍潇（1991-），男，福建福州人，硕士研究生，工程师，主要从事网络安全工作。产业科技创新 2023，5（3）：828483第5卷 第3期陈逍潇等：基于 SOAR 的安全运营自动化关键技术构建及未来演进方向研究险控制能力预测的分析。在 BYOD 模型中要实现对网络设备和业务环境中服务之间关系进行建模和描述，在BYOD 模型中要实现对运营事件进行可视化描述时，还需要满足事件发生时事件描述及相关规则描述能力这两个要求。其中主要需要通过构建 BYOD 协议来实现这些功能2。2.1 开放架构支持 SOAR 的开放性生态体系SOAR 必须是一个完全开放的系统，不仅要有开放的界面，还必须要有SOAR 的开放界面，才能让第三方设备与SOAR 的连接更加紧密，更重要的是，SOAR必须是一种全新的安全运行工具，既要能兼容大量的安全设备、网络设备、EDR 系统 3，又要与用户的商业系统连接，从而实现对用户的服务的控制闭环。2.2 DevSecOps 框架支持设备的自适应SOAR 解决方案虽然可以通过 OpenC2 接口规范来实现对各种安全设备的互联互通，但是对于已经部署在客户现场的安全设备的标准接口改造是不现实的，为了实现和现有安全设备的管控接口，就必须要求 SOAR 解决方案支持面向不同设备快速的兼容性接口扩展能力。在 SOAR 的数据接入及管控界面部 分，使 用 DevSecOps（Development，Security&Operations），SOAR 解决方案主要实现以下功能（如图 1 所示）：（1）工程师能够根据插件化模板，对不同设备制造商的不同数据访问模式进行编排，并迅速地整合和实现插件的联机激活和访问，从而使数据源具有打开即用的功能；（2）工程师能够根据标准的插件化模板，对不同设备厂商、不同设备的管控模式进行编排，并迅速整合并完成管控设备插件的在线激活和接入，实现管控设备的开箱即用能力，这将是 SOAR 开放生态体系未来演进的一个主要方向和核心能力。图 1 DevSecOps 框架下 SOAR 数据接入及响应管控3 可视化编排及自动化处置支持全场景安全隐藏一段时间后，再发动反击，或者侧翼发动攻击，流式分析引擎是不能有效分析的，必须要在攻击造成伤害后，再进行验证，而 APT 的自动分析，则需要借助可视化的技术，配合离线分析引擎，从而判断出主机是否被 APT 攻击，程序如图 2 所示。图 2 可视化编排流程在以上的编排过程中，在此次攻击的初始阶段，安全规则的判定为 APT 攻击的起始，而判断和取证则是判定 APT 攻击成功与否的重要环节。由于 APT 攻击一旦成功，它的木马（或病毒）就会有很长一段时间的停留期，而流式的关联分析程序很有可能无法在很长的时间内完成相关操作，因为流式匹配会消耗大量的系统资源，而如果在流式分析引擎中进行长时间的分析，那么系统就不会满足这样的要求了。因此，必须使用离线分析引擎，针对被攻击的目标，对攻击的轨迹和攻击进行离线的分析。这一程序是一种定期的证据研判3。3.1 基于攻击实现对漏洞的关联处置编排在许多威胁的攻击中，玩家都会通过一个破绽来完成攻击，从而造成致命的损失。所以，在自动编组中，不仅要考虑到目前受到攻击的资源的弱点，还要考虑如何加强网络中现有的所有资源。其编排流程如图 3 所示。图 3 被利用漏洞关联处置流程3.2 基于SOAR 的安全运营自动化对传统工作流程的影响在安全运营自动化模式下，安全业务流程（FA）的主要构成包括：（1）系统中发生的服务事件（BYOD）；（2）业务过程完成后的服务处理过程（FA）；（3）业务进行执行或终止过程时的事件（FA）；（4）发生后的BYOD。4 基于 SOAR 的安全运营自动化关键技术的未来演进方向4.1 将企业安全战略与安全技术结合在一起将应用安全模型（SOAR）作为一个独立的安全工产业科技创新IndustrialTechnologyInnovation84Vol.5 No.3具，利用基于 API 的策略来提升安全流程，利用数据分析技术进行全面安全运营，采用快速响应，主动防护策略。通过动态资产/工具的使用（基于 SOAR）以优化应用程序和基础架构。“敏捷响应”是美国总统特朗普团队所提出的概念，实施这种策略所需要的资金和时间就远超传统方式：在美国联邦政府预算赤字的背景下，一项专门针对网络攻击而制定的计划也仅仅是“纸上谈兵”，即使这一计划能够在较短时间内成功实施也可能需要花费几年时间。如果不是这样，这一网络威胁防御措施就很难获得成功及保护企业关键业务系统和业务应用程序。从根本上讲，SOAR 能够使我们的企业机构实现更高效和更具成本效益的运营模式并满足当前日益增长的网络安全需求，包括：能够基于 SOAR 快速、高效地执行安全管理工作。SOAR能够将威胁建模与企业管理方法相结合，并且将网络攻击防御引入 SOAR 中。4.2 能够管理不同威胁类型并进行分类能够创建详细的攻击行为分析模型并可用于安全策略分析，包括扫描、攻击行为识别和发现分析；通过机器学习算法提高监测和响应效率；以及更多动态变化以应对不断变化的威胁环境。针对 IT 环境中各种各样的问题如网络威胁、软件风险和脆弱性问题等，SOAR 提供了更加明确的定义和更广泛的功能。以攻击为导向的 SOAR 策略能够针对不同因素与不同威胁进行分类，而不仅仅只是对漏洞进行定位和分析。该策略还允许 IT 员工根据对攻击产生变化的理解而做出反应。基于 SOAR 为IT 管理者提供分析和发现解决方案。当前SOAR 技术已经从一个相对封闭的安全框架逐步演进为以业务为导向的安全运营自动化架构。SOAR 目前已经被大量企业采用并将得到不断发展5。SOAR 可以实现以下目标：提高安全性和能力并为运营提供更多预测预警信息；提供自动化分析工具和功能以加强针对威胁和活动的响应；制定有效行为决策以及针对潜在威胁采取积极行动；在出现问题时提供支持和响应；以及支持基于事件而不是基于数据信息来开展工作。4.3 及时采取攻击行为进行识别网络安全团队可以在其自身的网络中跟踪到每个业务系统并使用 SOAR 对其进行实时检测。这样，网络安全团队可以提前了解所有威胁，并及时采取防御措施。由于 SOAR 中包含一系列先进的检测功能，因此这些功能可使网络安全团队能够实时发现并进行警报。通过这种方式，网络安全团队能够在发现异常后立即做出反应，并且能够在企业中的任何地方发现威胁。例如在一些远程攻击中，网络安全团队能够追踪到大量异常行为并使用 SOAR 对攻击进行监控。随着SOAR 技术逐渐成为网络安全团队和其业务团队实现自动化部署并降低成本的解决方案，SOAR 技术正在不断演进。随着网络安全团队不断在关键业务系统中部署SOAR 技术以帮助应对越来越多的威胁和挑战6，SOAR技术正成为网络安全团队和业务团队的一个非常重要的工具。由于它们对恶意行为以及攻击做出快速反应性响应和及时拦截能力，它们将提供保护免受网络威胁侵蚀（不受影响）的能力。当需要防御攻击时也可以用来为资产提供保护。为了达到最好的效果，应该让 SOAR 技术支持我们应对不断变化且不断出现问题和挑战的工作流程7。5 结语针对 SOAR 在安全运营自动化领域还有哪些发展空间，中国电信科技产业研究院认为，在安全运营自动化模式下，应研究如何利用新技术有效地解决传统技术的缺陷及不足，并进一步完善和扩展安全运营自动化工具的应用范围。目前，中国电信正在持续推进SOAR 技术在安全运营自动化领域的创新与应用。从数据采集、安全审计、入侵检测到事件驱动进行全面的风险评估与分析；从资源管理到场景建模与应用拓展；从数据分析到智能识别等多个维度进行了探索。通过中国电信多年持续发展的 SOAR 技术体系，在构建SOAR 平台方面也积累了丰富的经验。参考文献：1 董国强，徐英锋，曾显波等.智能制造技术在工业自动化生产线中的应用探究 J.科技创新与应用，2020（34）：98-99.2 安仲举.智能机械设计制造自动化特点与发展趋势研究J.中国设备工程，2020（06）：25-27.3 蔡志容.智能