是时候结束“手动挡"安全运营了，奇安信发布安全编排自动化（SOAR）产品

　　在RSAC2020期间，奇安信基于丰富的实战化安全运营能力，在国内主流安全厂商中率先发布安全编排自动化与响应（SOAR）产品，帮助客户大幅提升安全检测和响应的效率，实现安全运营从“手动挡”的时代迈向“自动挡”时代。

　　SOAR是新一代安全运营中心的必要能力

　　奇安信安全专家表示，新一代安全运营中心一直都强调安全运营过程的闭环，从自适应安全架构的角度来看，新一代安全运营中心要对防护、检测、响应和预测四个阶段进行持续的监测与评估，要确保能够持续及时地发现问题，并处理问题。

　　近些年来，人们对检测技术十分重视，包括新一代安全运营平台在内的各类平台系统都极大地增强了其检测能力。借助新型检测产品和技术，用户获得了更低的MTTD（平均检测时间），能够更快更准确地检测出攻击和入侵。不过，更快地检测出问题仅仅是第一步，如何快速地针对这些威胁进行响应处置，降低MTTR（平均响应时间）的重要性就更加凸显，而这也是新一代安全运营中心系统必须面对的问题。

　　在响应环节，安全运维与响应人员面临的挑战巨大。一方面是响应过程涉及到大量分散的设备和系统，但威胁处置需要不同的安全设备之间的协同联动，依靠人工操作耗时费力；另一方面是响应人员匮乏，技能水平受困于重复性劳动难以提升，而优秀的运维响应工程师的经验也难以形成标准化的流程和动作，从而限制了整体的响应和处置效率。

　　SOAR正是顺应这个趋势发展出来的一组新的安全能力的统称，旨在快速检测威胁、减少安全人工分析投入、做到快速响应，以提高安全运营的效率。通过在安全运营中心实现SOAR，不仅可以完善安全运营中心的安全响应的能力，尤其是编排和自动化能力，以及响应管理能力，并且能在整体上提升安全运营中心的效能，包括安全事件调查分析（含MTTD）的速度、安全响应（MTTR）的速度、将分散的安全系统整合的能力，以及安全运维人员的工作效率。

　　告别“手动挡”，四大特性大幅提升响应处置效率

　　据介绍，奇安信SOAR基于实战化安全运营出发，主要为客户提供安全编排与自动化、告警管理、案件管理、工单管理四大功能。它能够帮助企业和组织将繁杂的安全运营（尤其是安全响应）过程梳理为任务和剧本，把分散的安全工具与功能转化为可编程的应用和动作，并且借助编排和自动化技术，将团队、工具和流程的高度协同起来。

　　奇安信SOAR产品具有以下关键特性：

　　安全能力编排化：通过剧本管理、应用管理、动作管理等功能，将客户分散的安全能力和安全运维响应的过程标准化，形成剧本库和应用库（动作库），实现团队、工具和流程的整合与协同联动。这些标准化流程可以被随时调用，减少了人工的干预，大幅提升应急处置的效率。

图1：剧本可视化编辑界面

　　告警响应自动化：对纷繁的告警信息进行智能分诊，从而自动触发对应流程，这也是区别于传统SIEM/SOC平台的告警管理功能的关键之处。一方面告警分诊能够自动化地聚合告警信息，自动计算告警的可信度和处置优先级，帮助管理员聚焦关键的告警；另一方面，告警调查还可针对告警信息进行补充调查分析，将低质量的告警变成高质量、有价值的告警，并且排除虚假告警。同时，在进行告警调查的时候，运维人员还可对告警进行增强，尽可能清晰、精准地将告警的相关信息呈现出来，方便管理员进行研判。

图2：告警自动化响应配置界面

　　案件管理全程化：奇安信SOAR可帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置，并且不断积累该案件相关的痕迹物证（IOC）和攻击者的攻击战术等指标信息（TTP）。

图3：案件管理界面

　　系统架构开放化：采用开放可编程架构设计，内置工作流引擎和应用开发包，用户可自定义剧本、应用、自动响应触发条件和案件处置过程，无缝融入现有安全体系。

　　基于以上四大特性，奇安信SOAR可帮助客户重点解决因运维响应人员匮乏、安全事件响应不及时、重复性运维工作量大、安全设备之间缺乏协同且联动性差等导致安全运营效率低下的问题，将安全团队、工具和流程真正整合起来，让安全运营工作更加协同一致。同时，在重大活动网络安全保障期间，奇安信SOAR还可以帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验，全方位提升实战化运营水平。

　　人的因素在SOAR中同样重要

　　2月25日， RSA主席Rohit Ghai向与会的大约4万名与会者重新叙述网络安全中“人”的故事。Ghai认为，如果不重新思考网络安全文化，不像关注技术那样关注人，我们最终是无法战胜网络威胁的。

　　对SOAR而言，人的因素同样至关重要，不能片面地认为自动化（譬如SOAR）可以显著降低企业和组织对安全运维人员的技能水平和数量的要求。事实上，根据Ponemon在2019年4月份做的一个调研报告，从中期来看，安全自动化非但不会降低安全对人员的需求，反而会需要更多的人，而且是更高水平的人。人永远是安全的最关键因素，既是最大的脆弱点，也是最重要的生产力。自动化不是取代人，而是让安全人员变得更强，更有效率。