APT防护十年：终于有人把SOAR这件事讲清楚了

【编者按】日前， 亚信安全 在京召开高级威胁治理十周年暨XDR战略发布会，到场的安全专家从高级威胁治理，讲到 安全运营 、自动化编排与响应，再到一切皆响应的XDR战略。文章详细讲述了安全运营、自动化编排与响应以及XDR战略，详细内容见下文。

文章转载自“安全牛”，原作者王小瑞，经亿欧整理编辑发布，供业内人士参考。

---

趋势科技（趋势科技中国为亚信安全的前身），早在十多年前就开始涉足高级威胁防护的领域。从最早的威胁发现设备（TDA，2005年发布），到深度威胁发现产品平台（Deep Discovery，2007年） 的正式推出，再到2011年的SOC，2015年的APT治理战略2.0，走到了今天的一切皆检测与响应的XDR战略。

一、安全运营的四个阶段

SOC（安全运营中心）的概念和应用已经过有了很多年，但业内人熟知，SOC在中国的应用非常不成功，被人诟病。直到威胁情报、大数据、机器学习技术的引进，借助态势感知的大潮，新一代SOC，或称iSOC（智能SOC）开始兴起。亚信安全认为，安全运营可分为由成熟度由高到低的四个阶段，阻断、发现、响应和预测：

早期阶段：即基于策略、规则的防护技术，阻断已知威胁；

进阶阶段：基于行为分析、大数据、机器学习，发现未知的威胁；

高级阶段：系统可弹性恢复及安全自动化响应；

智能阶段：主动预防和自我风险评估。

早期阻断阶段最为成熟，90%的用户都能达到，但到了高级响应阶段，只有极少用户能够达到。绝大部分用户处于从发现到响应的过渡阶段，面临的典型问题，如被大量的报警淹没，远超安全运营人员的处理能力。说到这里，SOAR该登场了。

二、SOAR来了

安全编排、自动化及响应(SOAR)，旨在快速检测威胁、减少安全人工分析投入、做到快速响应，以提高安全运营的效率。从中可以看出，检测与响应是SOAR的核心，目标直指SOC的最被诟病的问题。

亚信安全认为，从发现到响应的能力构成可分为四步：

1）告警受理：对警报进行分类以及划分优先级，可用预处理脚本来自动化执行；

2）定性分析：判断威胁的真实性，确认威胁的本质及攻击者意图，主要基于威胁情报和沙箱技术；

3）定量分析：调查取证，回溯攻击场景，评估威胁的严重性、影响和范围。可基于端点检测与响应，网络流量分析，以及远程检测与响应(MDR)；

4）响应：根据响应脚本，执行响应策略。可做到产品联动，自动化执行响应脚本。

在Gartner的报告里，SOAR平台的核心组件为，编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠：

1）精密编排的联动安全解决方案(SOA)；

2）事件应急响应平台(IR)；

3）威胁情报平台(TI)。

在这个体系里，包括了APT防范、云安全、态势感知、身份管理、终端安全、威胁情报、取证溯源等产品技术，而这些技术正是亚信安全的优势所在，全面覆盖了SOAR体系。

三、一切皆响应：XDR战略

近几年检测与响应(DR)的大趋势，已是不争的事实。不管是端点安全、网络安全，还是远程运营，都加上了个DR。EDR，NDR，MDR，SOAR……但在实际应用中，检测还是占据主要地位。因此，亚信安全本次的发布会旨在呼吁业界重视响应能力的建设。非常有价值的是，亚信安全通过一些真实的应用案例，将整个安全运营过程总结为七个层级，值得业内人士的借鉴与参考：

准备 --> 发现 --> 分析 --> 遏制--> 消除 --> 恢复 --> 优化