基于Soar的企业安全自动化响应解决方案.docxVIP

基于Soar的企业安全自动化响应解决方案

袁宏亮

摘要：日前企业安全运营中心的安全事件日益增多，占据了安全工程师大量的时间，

导致安全响应时间长、人工介入多，相关处理过程难以定量评估。本文将从Soar技术的

原理和应用案例浅析在安全管理当中的安全编排、自动化与响应解决方案。

关键词：安全运营;自动化响应;Soar

一、企业安全现状

随着网络安全行业日益火热，各类网络黑客技术和工具也越来越多，普通程序员利用

网络上共享的安全工具就可以十分快捷的上线并进行网络攻击活动。例如，微软官方于

2020年3月公布了CVE-2020-0796漏洞，提示用户SMB服务存在远程代码执行高危漏洞。

仅在漏洞公布不久，相应POC漏洞利用工具已经出现在github平台上，仅需安装python

运行环境即可运行攻击脚本发起网络攻击。由此可见，网络安全攻击者攻击成本日益降低，

安全事件数量增长率日益高涨。

目前一般大中型企业都已经建立了相对比较完备的安全运营中心（下称为SOC），在

SOC的运营过程中经常会遇到以下问题：

（一）大量的安全事件需要安全工程师介入，安全工程师分析的时间被许多无关紧要

的事件消耗。导致安全响应执行过程、响应时间长，人工介入多，安全工作无法闭环。

（二）安全运营内包括多维度的调查取证、漏洞验证、安全策略变更等，需跨多系统

多部门同步协作，导致安全闭环推进成本增加。

（三）一次常规的事件响应，至少涉及10个以上系统或程序，安全人员自身感觉耗

时耗力，安全应急严重依赖人工操作。

二、Soar定义

Soar技术全称是SecurityOrchestration，AutomationandResponse，安全编排

和自动化响应，是Gartner2017年提出的概念。Soar的产生就是为了解决以上提到的各类

SOC运营问题，主要包括以下几个方面：

（一）Orchestration，编排。与过去相比，现在的安全运营中心需要整合大量的系

统，要满足这些需求，必然需要的提供丰富的事件响应与处理编排能力，可以进行流程定

制，流程执行。

（二）Automation，自动化。当前安全分析师工作量和内容都大大增加。数据是海量

的数据，大量的数据需要使用自动化方式去处理。

（三）合理的KPI评估体系。系统提供编排与自动化执行能力，根据评估结果，可以

进行流程再造，优化我们的编排内容，带来整个SOC的效率提升。

因此结合Soar定义，我们可以将目标确定为减少人工参与，固化处理流程，融合人

工智能，加快威胁响应，及时减少损失。

三、Soar平台联动架构

我们将Soar与人工智能、RPA等多项工具融合，可以实现在智能安全编排、自动化响

应过程中的多项应用。其在SOC中的运行架构可用下图表示。

在收到一些威胁情报或攻击检测等之后，会出发Soar平台的告警阈值，平台依据原

本安排好的决策剧本进行智能决策，迅速响应同步至各大平台，在安全产品上完成信息同

步，在网络产品上更新策略信息以及在各類It系统中完成响应防御操作，为防护方争取

较多的时间。

Soar与机器学习等技术相结合，可实现人机协同作战的应用场景。通过给平台提供相

近领域的样本训练，平台基于历史数据借助机器学习算法进行统计模拟后，可实现持续的

“自学习、自优化”实现安全运营可持续优化。安全工程师可通过文字方式给平台机器人

下达执行，平台通过机器学习、语境关联自动反馈安全建议。平台也可以基于安全事件、

威胁情报等自动化生成脚本，并结合人工验证的方式最后一键全部部署，完成了安全事件

和威胁情报下人机的协同作战。

四、应用案例

以下分享基于Soar实现封锁清除失陷主机并加固的流程：

平台在检测到类似漏洞信息后，开始分析流程，对靶机进行判断检测，判断如确认遭

受漏洞攻击，系统自动流转到处置环节开启全境扫描封锁。对于确认未感染的机器，平台

直接完成补丁加固或规避方案;对已经感染的主