SOAR是什么?

Gartner 在 2017 年年底對 SOAR 重新進行了定義。由于新的技術與市場逐漸成熟，SOAR 的概念由 SOA(安全自動化與編排)、SIR(安全事件響應平臺)與 TIP(威脅情報平臺)三部分組成。從實踐角度來看，通過自動化編排能力與威脅情報能力，實現風險優化、檢測、溯源與響應的行為閉環。

根據安全牛對 Gartner 的總結，理想的 SOAR 系統應該有四方面的能力：

1. 編排能力：將不同的技術整合在一起進行協同工作。

2. 自動化能力：讓機器可以像人類一樣處理工作。

3. 事件管理與協同能力：人與人之間，不同部門/分組之間成員對事件的協同管理。

4. 儀表板展示能力：將事件、環境信息以可視化的方式提供給相關人員。

一年半過去了，SOAR 產品的完善度似乎未達到理想的地步。大部分廠商的產品都在 SOA、SIR 與 TIP 三個領域中的某一個領域深耕，很少有能夠同時提供三個領域能力的廠商。

作為安全界內全球大廠 IBM，他們的 SOAR 產品 IBM Resilient 目前在全球已經有 200 多個大型客戶在實際應用。那么，他們的 SOAR 產品又和 Gartner 所提出的理念有什么改進?

IBM 有個不同的 SOAR?

Gartner 認為的 SOAR 是由 SOA、SIR 與 TIP 三種能力組成，而 IBM 的 Resilient 系統卻是由 SOA、Case Management、與 AI & Human Intelligence 三部分組成。

SOA(安全自動化編排)是 IBM 與 Gartner 提出的理念共有的部分，使得 SOAR 平臺可以統籌安排并自動執行事件響應的能力，全面應對各類復雜的攻擊。通過整合來自人員、流程和技術方面的信息，能為分析師提供相關的信息和工具，幫助分析師快速地做出最恰當的決策。同時，Resilient 借助 IBM 自身擁有全球最大的漏洞通知法規數據庫之一，能夠簡化交付必要漏洞通知的流程。

那么，在基于 IBM 大量的業界最佳實踐的基礎上，Case Management 與 AI & Human Intelligence 又與 Gartner 提出的 SOAR 理念有什么不同之處呢?

我們很多時候都是將事件作為一個單點來看：當事件發生后，安全團隊和系統采取某種措施進行響應，而在這些環節中，似乎人員(安全團隊)、系統(某些安全設備)、發生的事件都是作為事件中零散的屬性而存在。但是，事實上，當一個事件發生時，往往牽涉到了不同的部門(不同的業務系統)、不同的事件需要不同的流程進行處理等等。如果我們將安全事件以一種更立體的角度來看待：從人員角度，在某種安全事件發生后，企業需要誰來進行響應，該如何協同進行工作;從具體行動角度，相關人員需要采取怎樣的一系列措施;從事后分析角度，企業在這些安全事件中都分別進行了怎樣的措施，不同角色進行了怎樣的行動。通過從不同的維度進行擴展，將安全事件不作為一個單獨的點進行處理，而是一個有時間、成員、行動等多個因素組成的場景，或者具體的用例——這就是 Case Management 的概念。

Case Management 功能是 Resilient 在事件管理與協同能力上的體現。通過大量的業內最佳實踐形成的 Knowledge Base，Resilient 可以根據不同的情形，組織不同團隊、級別之間的成員進行協同合作，增強不同團隊成員之間的聯系。另一方面，SOAR 一個很重要的價值在于將 “經驗” 留存在團隊中，從而應對各類風險。但是，這些經驗往往存在于安全人員的大腦之中，但是通過 Case Management 將事件的進程、基于角色的行為等進行記錄，并且將這些信息作為能力融入到工具之中，可以極大彌補因為安全人員不在場、離職等原因造成的安全能力缺失。通過 Case Management，企業能夠以一種進程化的方式，解決安全響應的問題。

當人們都在強調人工智能的時候，IBM 卻將人工智能和人類智能雙管齊下。正如上文說的，在安全事件中，很多時候需要依靠相關人員的經驗與知識去分析和解決。因此，盡管人工智能可以解決相當一部分的事件，但對于一些攻擊的溯源、對安全狀態的把握卻依然會需要人類專家來處理。在 IBM Watson 的支持下，企業可以享受到人類專家帶來的經驗與能力，對安全態勢進行更有效地把控。同時，Watson 可以結合 IBM X-Force 全球超過 800TB 的威脅情報進行分析，為企業提供有效的威脅信息。

IBM 的 SOA、Case Management、AI & Human Intelligence 以自己的理解重構了 SOAR 的三個組成部分，同時也達成 Gartner 定義中對 SOAR 的四個能力要求。其中，Case Management 也被 Gartner 作為事件管理與協同能力中的一點提出——但是 IBM 的 Case Management 顯然滿足了 Gartner 對事件管理與協同能力中所有的要求。事實上，Case Management 對廠商而言是有相當高難度的：Case Management 不只是類似于 playbook 的行為指導，而是基于企業中不同團隊的協同，進行場景化、流程化的處理，同時對行為和事件進行記錄，并且基于角色進行安全控制。安全本身不再是安全團隊的單獨行動，而是與系統相關的人員之間的聯動。另一方面，威脅情報在于有價值的分析——有經驗的人類專家往往能從中發現當下人工智能無法發現的蛛絲馬跡，

SOAR還能幫助合規?

Resilient 從能力上能分為 SOA、Case Management、AI & Human Intelligence，而從組成模組上則分為了安全 (Security)、行動 (Action)、隱私 (Privacy) 三個模組。

值得一提的是隱私模組。安全與行動模組承載了 Resilient 的自動化編排、響應等能力，而隱私模組則是 IBM 針對近年來頻發的數據泄露事件以及各種合規出臺而設置的。企業可以根據自己所在區域的不同，配置相應的合規模板，一旦發生隱私事件，SOAR 能夠指導相關人員開啟隱私事件流程，包括通知相關機構、客戶等。

隱私模組如今已經配置了 GDPR、PCI、HIPAA 等多種合規要求，幫助企業在全球不同地區、商業領域滿足不同的合規需求。同時，企業也能根據自身相關的合同，進行合同約束的隱私配置。

盡管 Gartner 并未提及合規在 SOAR 當中的使用，但是顯然合規與隱私需求也是安全事件中的一環。IBM 對隱私與合規的意識走在了前沿，在當下各種合規要求的出臺情況下顯得尤為重要。企業自身的安全固然相當重要，但是將相關安全事件通報受影響人以及相關機構，能從更大范圍上對安全事件進行處理。因此，合規也尤為重要。

讓我們看看SOAR的實際效果

既然 Resilient 已經在全球有 200 多的應用客戶，那么他們到底為自己的客戶解決了什么樣的問題?這里有兩家企業可以供于參考。

法國的一家醫療保險公司，擁有 2,000 多名員工，在全法國有龐大的運營網絡，包括近 21,000 家分公司以及 200 多個辦事處，客戶數超過 130 萬。由于醫療保險公司本身擁有大量的客戶敏感信息，公司需要在合規、安全的基礎上，對數據進行高效的管理和使用。

該醫療保險公司本身已經使用了 IBM Security 的解決方案，但是為了滿足進一步需求，該公司提升了多個 IBM Security 的相關組件。另外，該公司從物理形式的 Resilient 軟件解決方案遷移到了 SaaS 解決方案，并且在其安全運營中心 (SOC) 部署，用以管理事件響應。

在新的解決方案下，新安裝的 IBM QRadar Network Insight V1901 軟件可以提供更準確的威脅檢測和預警功能。而新的 Security QRadar SIEM 可以通過實時分析提供更準確的威脅檢測以及優先排序功能，從而極大提升了安全平臺的運營效率，提升了公司整體的IT安全管理與事件響應能力。另一方面，在 Resilient 的幫助下，公司內的所有利益相關者均可訪問運營解決方案，使得整個公司中的不同又關聯的部門可以參與并了解整個安全的情況，增強了企業內的安全協作情況。

而對于另一家位于英國的大型全球銀行，IBM 幫助他們整合了自身的 SOC 資源。原本該銀行有 12 個孤立的 SOC，因此在面對威脅的時候，存在著情報分散、脫節，同時又只有支離破碎的可視性等問題。另一方面，SOC 每周只有五天運作，每天只運作 8 小時，使得企業存在長時間的安全真空狀態。

IBM 在幫助該銀行制定了端到端的 SOC 轉型路線圖，并在其中的一個 SOC 中投入了 IBM Security QRadar SIEM 軟件對銀行面臨的威脅進行優先級排序，并進行檢測。在這個基礎上，銀行將 QRadar 軟件推廣到其余的 11 個 SOC，消除了 SOC 的孤立問題，并集成到了全天 24 小時的連貫系統中。最后，銀行部署了 Resilient 平臺，做到了自動執行 SOC 工作流程和事件響應的過程。

通過將 12 個孤立的 SOC 集成，該銀行終于能通過單一的界面獲得覆蓋全行的可視性，更快速、高效地檢測和響應網絡威脅，降低事件影響。另一方面，在引入 SOAR 的自動化能力后，SOC 的運作時間不再局限于 5*8 的范圍，節省了成本的同時，也大大減少了安全真空期。

從這兩個案例中，我們可以發現：越是龐大的企業越需要 SOAR 來輔助安全運營。SOAR 在實際的 IT 環境中能將大量的安全能力，包括相關部門進行整合，從而進行協作;對于安全能力多而散的大型企業，以及對安全事件響應要求極高的企業，SOAR 都有極高的安全戰略價值。

安全牛評

SOAR 的概念看似很美好，但在實際落地上卻有相當的難度。SOAR 的價值不只是在于自動化的安全能力，不同團隊之間的聯動也至關重要。在各種設備進行聯動的基礎上，企業人員是否也能做到協同聯動?企業不同角色之間是否知道自己的安全職責?安全事件發生時，不同人員該如何配合進行響應?一個優秀的 SOAR 系統是將人和機器資源進行整合，系統和人都能知道在不同的安全情況下該如何行動，從而快速響應、處理威脅，減少損失。