近日，以“护航数字文明 开创数字安全新时代”为主题的第十届互联网安全大会（ISC 2022）成功举办。未来智安（XDR SEC）产品经理刘晓受邀参加，分享了《SOAR：为XDR扩展威胁检测响应提供响应解决方案》特色主题演讲，为解决安全运营快速响应提供了新的技术思路。

刘晓 | 未来智安 产品经理

“XDR结合SOAR自动化安全编排与响应技术，为安全运营快速的响应打造了有效的解决方案。”

以下是演讲实录：
大家好，我是未来智安的产品经理刘晓。北京未来智安科技有限公司是一家聚焦于XDR扩展威胁检测响应赛道的网络安全公司，我们也是国内第一个发布XDR的安全厂商。今天和大家分享的内容主题是《SOAR：为XDR扩展威胁检测响应提供响应解决方案》。
本次分享主要从以下三个方面展开：
1. XDR扩展威胁检测响应
2. 安全运营快速响应
3. SOAR：安全运营快速响应解决方案

01  
XDR扩展威胁检测响应

安全层面最本质的问题是检测与响应，而当前的检测与响应，还存在着一些痛点和难点亟需解决，响应运营层面仍存在着一些挑战。
各类安全防护设备每天会产生大量的安全告警，使得安全分析人员绝大部分时间和精力都“消耗”在告警信息中，导致高价值的告警往往淹没在了海量告警当中，无法第一时间发现和阻断攻击，并且高价值的告警因为无法获得更多的攻击上下文而会被忽略，也错过了最佳的防御时间。

发现上报的告警，也面临着攻击溯源难的问题，比如看不清完整的攻击链路，缺乏全威胁的视角，黑客是怎么打进来的，利用了什么漏洞打进来的，先打了哪台主机，在主机上又做了什么事情，是怎么进行横向移动的，影响面有多大，又造成了什么损失，这一些都是在攻击溯源上面临的难点。

海量告警同时也带来了运营的压力，各个安全防护产品间的数据孤岛造成的分析需要在不同平台之间进行来回的切换，分析取证的路径长且耗时，缺乏自动化的分析、研判以及处置手段等等这些都造成了安全运营处置的效率低下。
面对新形势下的安全挑战，安全运营工作需要进一步的“左移”，需具备提前发现潜在风险，提前阻隔威胁的能力，需要细粒度且有效的安全度量能力和手段。

在检测层面，组织当中也存在着风险感知和威胁检测的盲点，比如漏洞普遍存在，漏洞与风险、漏洞与资产、漏洞与威胁之间的量化工作存在着盲点，同时普遍存在着影子资产，如员工私搭服务，很难遵守组织安全规范，这就造成了影子资产类的检测盲点。虽然组织已经采集了大量的安全日志，但是超过60%的组织不使用数据，没有有效的使用数据，未能产生安全价值。

组织当中也会缺乏一些威胁全视角的检测，比如基于全流量的NDR威胁检测，存在看不到端点文件、进程、注册表等行为，缺乏端点视角；基于端点安全威胁检测，存在看不到网络行为数据，缺乏流量侧数据，造成了数据间的孤岛。攻击者也会通过绕过各种检测技术，给安全带来威胁和挑战，并且威胁总是在不断的演变，组织内网络安全高水平的人才短缺是常态，威胁检测工作高度依赖于网络安全防护产品。

面对这些威胁检测盲点和运营难点，该如何解决呢？

XDR扩展威胁检测响应，不仅是一项技术，更是一种解决方案。

“X”，扩展性，指具备多维度扩展属性，强调由孤立式威胁检测到全面威胁检测的整体转变。

“D”，检测分析，指对数据的收集、处理与分析，强调以超越原有系统的速度更快、更准确地检测网络攻击活动，从根因、关联分析、事件化分析等维度展开安全事件的检测分析。

“R”，响应处置，与自动化紧密相关，强调以开箱即用的自动化操作快速应对各类繁琐枯燥的安全任务。

XDR通过对多源告警融合、基于规则的快速检测、全资产动态管控、事件化分析和处置等技术手段，提高威胁检测和响应的速度和精确度，为总体安全方案带来有效提升。

XDR扩展检测响应解决方案，基于“TDIR“驱动，更加关注实际安全应用效果：

在威胁检测方面，能够覆盖终端、流量侧的威胁检测与响应，一个平台即实现跨多维
的安全防护，能够有效帮助增强威胁检测和防护能力，消除威胁检测盲点。

在调查方面，结合丰富的遥测信息进行完整的攻击溯源，能够有效帮助组织提升威胁调查的全面性，能够让安全运营团队面对的告警量降低100倍，使得安全运营工作聚焦在少量高价值攻击事件上。

在响应方面，跨端跨网络的快速分析、响应处置，能够有效帮助组织提升威胁响应效率，让安全运营效率提升8倍，使得告警响应速度降低到分钟级。

02 
安全运营快速响应

安全运营分成三个阶段：威胁发现、检测分析、响应处置。

在XDR扩展威胁检测响应解决方案中，三个阶段中的“威胁发现”是根本需求，也是基本能力，而实现安全可运营是关键能力。

在面对海量的告警时，能够达到安全可运营的状态，具有高价值的场景挖掘能力，在安全分析层面具有焦点，不盲目分析、不因为海量告警而选择性放弃。具有攻击溯源取证、事件化的能力，能够看得清攻击的来龙去脉，构建从入侵到横向移动的完整攻击链条。具有自动化编排和响应能力，通过SOAR自动化编排技术将安全运营编排成可执行的工作流，有效释放安全运营效力，聚焦于高价值攻击场景。

03
 SOAR：安全运营快速响应解决方案

在这些对安全运营快速响应的需求场景下，XDR结合未来智安SOAR自动化安全编排与响应技术，为安全运营的快速响应打造了有效的解决方案。

什么是 SOAR？

SOAR这一概念，最早由Gartner在2015年提出，最初的定义是 Security Operations, Analytics and Reporting，即安全运维分析与报告。在 2017 年 Gartner 对 SOAR做了重新定义：Security Orchestration, Automation and Response, 即安全编排、自动化与响应，这才是现在广泛关注的 SOAR 的概念。进入2020年，SOAR被定义为是一类从各种来源获取输入，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案，实现了人机协同。这些过程和规程可以被编排并自动执行以达成预期结果，譬如分诊管理、事件响应、威胁情报、合规性管理和威胁猎捕。

从SOAR的定义演变过程中可以看到，SOAR能力方向不断被调整，定义不断被丰富。

未来智安XDR在实践的过程中也对SOAR作了一系列的能力梳理。我们认为SOAR是一套将事件响应、编排与自动化，以及威胁情报平台的管理能力组合到一起的解决方案，通过从终端、流量、威胁情报等多元安全工具来获取告警、日志等遥测数据，并应用可编排的工作流来自动执行以处理各种安全运营场景下的应急响应任务或日常安全运维工作，从而实现安全运营工作的高效自动化和快速响应处置。

SOAR是一个具备智能协作的安全运营系统，面向的也是安全运维团队，以高效的实战化安全运营为目标，为团队进行赋能。也能够实现人与组织、流程、技术以及工具的整合。在这之间，“剧本”和“应用”是作为整合的纽带而存在的。

基于SOAR的能力定位，安全编排和自动化响应处置以及统一调度应该作为SOAR的核心能力而存在，而这其中最核心的应该是安全编排和自动化。它塑造出了一种全新的安全响应方式，也为安全运营工作带来新的飞跃。

SOAR的编排指的是安全能力的编排化，而自动化则指的是安全运营过程的自动化，这两者的概念不同，但是紧密相关，共同构成了SOAR的核心能力。而响应处置能力当中，其实更加关注的是安全运营过程的自动化，从安全运营角度出发，将一个安全运营过程中涉及到的一些多个的技术节点自动的衔接起来，从而实现从端到端的安全运营过程自动化。

SOAR在安全事件发生时，如何进行快速响应处置？

例如在一些安全设备封禁场景中，一些安全告警事件上报后，通过智能的分析研判，能够自动触发预置的剧本，从而进入自动化响应处置流程。这样场景下的响应处置需要与第三方能力进行联动，才能真正完成对安全事件的一个处置，也是真正做到对安全事件从发现到分析到快速响应处置的一个闭环管理。

响应是SOAR的一个经典应用场景，但是SOAR又不仅限于响应。安全与编排，也适用于识别、防护、检测、响应、恢复等等各个环节，并且随着高等级的安全应急响应活动越来越频繁，专业化、系统化、自动化等越来越关键，大规模的安全情报系统和专家社会网络系统相互融合，“天地人机”的协同作战也将会成为网络安全应急响应的一个新常态。

未来智安提供了一套基于作战指挥室（WarRoom），并结合SOAR自动化安全编排能力的应急响应解决方案。XDR 作战指挥室，围绕着构建统一作战指挥平面，通过告警或安全事件触发而创建，统一进行安全事件运维或调度，可高效的管理、调度或派发针对某一安全事件的运维工作，譬如处理、跟踪、由系统管理员发起的各项安全运维工作，记录任务的执行情况，提供系统化、标准化的工作处理流程，用于部门间或团队间的高效工作协作。具有批量性、实效性等特点。未来智安XDR提供的SOAR编排化能力，可实现对突发网络安全事件，特定网络攻击等进行应急预案的制定，也能够实现突发事件的快速响应处置。