深入研究SOAR的核心能力——安全编排与自动化

原创叶蓬数世咨询

SOAR的内涵

随着网络空间安全对抗的持续升级，当前企业和组织的安全运营工作在人员组织、告警处置、快速响应、知识沉淀、整合协作诸多方面面临的挑战越来越突出。为了应对挑战，顺应安全运营未来发展的新趋势，SOAR（Security Orchestration, Automation and Response，安全编排自动化与响应）应运而生。

Gartner最新将SOAR定义为一种从各种来源获取输入，并应用工作流来处理各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。

结合业界的定义，以及一年多来的深入实践，笔者认为，SOAR是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起的，有序处理多源数据，持续进行安全告警分诊与调查、威胁猎捕、案件处置、事件响应，并最终实现高效、有效安全运营的智能协作系统。

如果用一句话来概述SOAR，可以解读为：人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。

人员是根本：SOAR强调以人为本。安全运营工作本质上是由安全运营团队及其相关干系人的一系列安全运营活动构成的。SOAR的目的是为了使能安全团队，为他们赋能，而不是取代他们。我们常说网络安全的本质是对抗，而对抗最终都是人与人之间的攻防。
协作是使命：安全运营过程中面临各种人、流程和技术之间的碎片。安全运营要取得成效，必须让团队、流程和技术协同起来，必须注重团队协作。SOAR不是取代协作，而是强化协作。
流程是基础：要实现实战化、有效化的安全运营，涉及的内容很多。其中，对于SOAR而言，其核心目标就是为了加速安全流程的标准化、自动化、智能化。因此，要想发挥SOAR的核心作用，必先梳理出组织自身的标准安全操作流程和规程。
编排是核心：编排是SOAR的核心和最重要的能力。编排的过程就是将团队、流程、技术和工具等各种要素以流程为纲整合到一起以服务于安全运营的过程。看一款产品是不是SOAR产品，第一条就是看其是否具备安全运营流程的编排能力。
自动是手段：对SOAR而言，自动化能力，高低决定了安全编排所能发挥的价值大小。一方面，安全编排往往通过自动化的手段来执行，以提升编排的执行效率，通过减少人的参与来降低人为错误因素的影响。另一方面，自动化是手段，不是目标，不要唯自动化。
响应是场景：安全编排与自动化适用于安全运营防御、检测和响应的各个环节，并不限于响应。但由于现阶段人们对于响应工作的重视，以及响应环节在安全运营工作中相对薄弱，SOAR首要的应用场景是响应。
提效是目标：SOAR的目标是辅助安全运营人员的工作，以数字化可度量的方式提升他们的工作效率，从而提升安全运营的效能，增强安全弹性。

SOAR三种能力之间的关系

SOAR从一开始就被打包成多种相对独立的技术能力的集合体，是一套解决方案。Gartner认为当前主要是三种技术的集合：安全编排与自动化（SOA）、安全事件响应平台（SIRP）、威胁情报平台（TIP）。

随着SOAR的快速发展，Gartner认为，从欧美市场来看，构成SOAR解决方案的三个部分结合越发紧密，耦合度越来越高，SOAR作为独立细分市场的地位愈发凸显。尽管SIRP历史比SOAR更为悠久，但却从未进入Gartner的细分市场分析视野。此外，在最新的2020年安全运营炒作曲线中，干脆去掉了TIP（注意，TIP不是TI服务，是TI服务本地化的一种表现形式），而将其融入SOAR之中。

笔者认为，SOA、SIRP和TIP依然还是三个相对独立的领域。与其将SOAR看作是这三者的合集，莫不如将SOAR看作是这三者的交集。事实上，SOA的应用场景远不止基于威胁情报的安全响应，响应只是SOA的一类应用场景。而TIP也依然有其独立存在的与SOAR不同的应用场景。

从中国市场来看，笔者认为，由于TIP发展与形成早于SOAR，因而在未来3年TIP依然主要是以松耦合、集成化的方式与SOAR打包成产品组合或者解决方案。独立的TIP依然存在，而独立的SOAR可以不包括TIP。

此外，SIRP在中国市场几乎没有存在过，而安全管理（SOC）平台产品在事件响应方面的能力过于薄弱，因此，SIRP的主要功能就要靠SOAR来体现了。

在SOAR的三个技术中，最核心的当属安全编排与自动化（SOA）。因为是SOA塑造出了全新的安全响应，将安全响应工作从“手动挡”升级到了“手自一体”。也是因为SOA，让威胁情报在客户侧有了更加落地的应用场景。如果说当前威胁情报在客户侧的落地主要是依靠SIEM，那么可以预见未来威胁情报与SOAR（或者安全响应）的结合将迅速崛起，成为另一个支柱。

可以说，借助安全编排与自动化，实现了安全运营工作的飞跃。

必须指出的是，编排与自动化是两个不同的概念，是两种紧密相关的技术。他们共同构成了SOAR的核心能力。更进一步，SOAR中的编排是指安全能力的编排化，而SOAR中的自动化则是指安全运营过程的自动化。

安全能力编排化

面对层出不穷的安全威胁，企业和组织部署了大量安全设备和系统，并且还在不断增加。安全运营人员每天都需要跟这些设备和系统，以及其它工具反复打交道，一个完整的安全运营流程往往涉及到多个设备和系统，需要在这些工具之间来回切换。尽管企业和组织可能已经部署了SIEM、SOC平台或者大数据安全分析平台，能够在一定程度上集中化地采集和分析安全数据，但在实际环境中，仅仅依靠这类平台也不足以做出分析结论，还需要依据安全流程调用其它工具，获取其它信息来辅助决策。同时，决策之后的处置环节更是需要联动网络中的各种安全防御机制。可以发现，以数据为中心的集成无法真正整合现有分散的安全工具和技术，无法对它们进行配置、控制和查询。因此，未来的安全运营还需要一个全新视角的技术集成。

如果将企业和组织的各种安全设备、系统，以及云端的安全服务和相关运营工具看作一个个安全功能，那么将企业和组织现有的安全功能转换成能力并通过编排集成到一起已经成为未来安全运营的重要趋势。借助安全编排技术，可以对安全运营流程进行形式化地描述，并映射到安全能力以及安全运营参与者上，促成人与人、人与工具、工具与工具之间的有机协作，同时也促成安全运营流程的知识转化。我们将这个通过编排集成安全能力的过程称作“安全能力编排化”。

“

安全能力编排化（Security Capability Orchestration）是指系统一方面可以通过自底向上地通过安全设施接口化和安全接口应用化实现安全应用编排化；另一方面则自顶向下地将安全运营者的安全运营过程和规程进行形式化落地，实现运营过程的剧本化。最后，借助运营过程剧本化和安全应用编排化，实现安全能力的集成与编排，并为安全流程的自动化执行奠定基础。

这里的安全设施是指安全运营过程中用到的各种技术、机制、工具、系统和服务。安全设施接口化是指这些安全设施对外提供的API。安全设施接口化是SOAR得以落地的重大前提条件。当前，包括安全设施在内的所有应用、系统和服务都在向可编程化迈进。也就是说，现代安全设施不仅提供面向人的GUI（图形用户接口），也会提供面向机器的API（应用程序接口）。而安全能力编排化最终就是通过这些接口来调用各种能力。

安全接口应用化是指将原生的安全设施接口所代表的功能封装成应用的过程。

“

应用（Application）是指企业和组织安全运营过程中需要用到的各种安全设施通过API或GUI暴露出来的功能，经过标准化统一封装后形成的安全能力，并以服务的方式对外呈现出来。应用执行的最小操作单元是动作，即这个应用中所包含的操作指令。通常，一个应用包括多个动作（Action）。

为了实现应用开发和运行的开放性和一致性，基本上都会基于一个应用集成框架来实现原生安全功能的应用化。这个应用集成框架应该具备开发态和运行态两种模式。在开发态，应用集成框架应提供完备的支持多语言的SDK，供开发人员进行应用开发。在运行态，能够导入应用，并将应用集成框架的运行时库与应用执行引擎绑定起来。

安全应用编排化的核心就是对安全应用中封装的安全能力进行编排的过程，其核心就是安全编排。

“

安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力（即应用）和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。

运营过程剧本化是一个自顶向下将安全运营过程和规程转换成剧本的过程，其核心产出物就是剧本。

“

剧本（Playbook）是安全运营流程在安全编排系统中的形式化表述，通常是在编排器中的工作流引擎驱动下执行。编写剧本的过程就是将安全运营流程和规程转换为剧本，并在剧本中将各种应用编排到一起的过程，也是将人读安全运营流程转换为机读工作流的过程。

显然，没有安全过程和规程，就没有剧本，安全编排也就将大打折扣。

为了便于编写剧本，并将应用便捷地编排到一起，可视化剧本编辑器必不可少。以盛华安CyberSky-SOAR为例，系统内置的可视化剧本编辑器允许剧本设计师方便地进行剧本创作。在编写剧本的时候，可以选择的元素包括应用动作、API、人工任务、审批、自定义变量、脚本、子剧本、条件分支，等等。管理员可以将这些元素通过鼠标拖拽的方式加入到编辑器中，构成一个图形化的剧本图。针对每个元素，管理员都可以进行详细的设置。

需要进一步指出的是，剧本是分层次的。

最高层剧本：是面向安全运营过程和规程的，也就是面向“安全业务”的，是对过程和规程的业务描述。此时，每个过程节点都是意图级别的；
中间层剧本：将业务描述剧本转义为编排引擎可以执行的应用描述后，就成为了中间层剧本，有的称之为执行剧本（Runbook），也有的（譬如IACD）称之为工作流（Workflow）。这时候，每个过程节点的意图都转义为具体的应用和动作；
最底层剧本：编排引擎在加载中间层剧本后，会变成一个个运行实例，实现了与目标应用系统的绑定。

总之，通过安全能力编排化，真正实现了将不同的设备和系统，以及人员协同联动起来的使命，就像一个交响乐队的指挥。

安全过程自动化

安全自动化并非新技术，伴随安全技术的出现，已经存在了许多年。但目前为止，我们更多实现的是某个安全技术和能力的自动化，譬如资产发现自动化、数据采集处理自动化、安全分析自动化，等等。这些安全技术自动化普遍缺乏从安全运营视角的考量。安全运营人员在执行安全运营过程的时候，需要一种面向端到端的全过程自动化能力，将一个安全运营过程中涉及到的多个技术节点自动地衔接起来。

安全运营过程的自动化已经成为了安全自动化领域的热点，也是未来安全运营的发展趋势。安全运营过程自动化是建立在当前分散的安全技术自动化基础之上的，从运营视角出发的，面向端到端的安全运营过程自动化。

“

安全过程自动化（Security Process Automation）是指安全运营过程与规程尽可能地自动化执行，从而大大提升安全流程的执行效率，节约时间和人力成本，并确保能够持续达成预期的效果。

安全过程自动化不等于安全编排，编排本身不是自动化。实际上，安全编排得到的任务和剧本指明了一系列操作的步骤和下一步走向的判定条件，跟自动化无关，既可以人工执行，也可以自动执行。如果安全编排中的任务和剧本的某些个步骤或者判定条件以自动化的方式执行，则将可以称作安全剧本执行过程的自动化，属于安全过程自动化的一种表现形式。在实际应用场景中，几乎所有安全编排任务和剧本的执行都或多或少地涉及自动化，否则安全编排的价值十分有限。因此，“编排是核心、自动是手段”。

众所周知，在汽车领域实现L5级别的完全自动驾驶还相当遥远。同理，在可见的未来要实现安全运营过程的完全自动化也不太可能。

另外，试图以完全自动化作为安全过程自动化的目标也是危险的，任何否认人在安全运营工作中的决定性作用的观点都是错误的。正所谓“人员是根本”，波音737MAX的事故原因可能就在于过度自动化导致的人工干预失效。在实际应用场景中，安全编排自动化基本都是有人干预的半自动化，相当于“手自一体”。

安全过程自动化是一个安全运营过程中的各个环节逐步自动化的过程。以盛华安CyberSky-SOAR为例，其安全流程自动化体现在以下几个方面：

自动化告警分诊：系统能够基于一些列预定义的预处理策略、关联分析策略和合并策略自动化对告警严重性和处置优先级进行划分；
自动化安全响应：针对需要进行调查/响应的告警信息，系统能够基于预定义的响应策略自动化地执行匹配的剧本和应用动作；
自动化剧本执行：系统所有的剧本都通过编排器进行加载，并在工作流引擎的驱动下自动化的执行；
自动化应用执行：剧本在工作流引擎里执行过程中如果某个活动需要调用集成化的安全能力，系统会自动激活应用执行引擎，并通过应用集成框架对相关能力进行接口调用，并将返回结果送回工作流引擎；
自动化案件处置：将告警或者相关痕迹物证信息加入案件中后，系统会根据预定义的处置策略自动化地执行匹配的剧本和应用动作；
自动化服务调用：系统对外提供API调用接口，供外部第三方应用系统调用，为它们提供编排、自动化与响应服务。
总之，借助安全过程自动化，真正提升了安全运营人员的协同工作效率，缓解了重复性劳动的压力，降低了人为错误的概率，减少了安全事件的平均响应时间。

结语

安全能力编排化与安全过程自动化是SOAR的核心能力和过程，也是锚定SOAR产品的核心要素。尤其是安全编排技术的出现，将安全运营中心的技术架构从现在面向数据集成的中心化架构演进到未来面向过程集成的去中心化架构，更加贴近安全运营的本质。而自动化技术在安全编排中的运用则将编排的价值加倍放大，加速SOAR的落地生根。

关键词：安全运营；SOAR；SOC