多雲環境的安全維運 — Part 4

資安監控的整合 — SIEM與SOAR

10 min readDec 27, 2022

企業使用多雲的環境之後勢必要有一個統一的視角來彙整這一些雲端業者的資安日誌與事件。這時SIEM(Security Information and Event Management)與SOAR(Security Orchestration, Automation, and Response)就需要上場了。

在本文中，我們將討論為何SIEM與SOAR系統為何在多雲環境中如此重要。首先，我們會討論這些系統的不同之處，再來會討論目前市面上關於這些系統的現況。最後是大哉問，我們該怎麼選擇這一類的系統以及如何實作這一些複雜的系統?

本文將討論的重點如下:

甚麼是SIEM與SOAR
整合性的資安需求
多雲環境的資安監控套件

甚麼是SIEM與SOAR

不管我們會使用AWS的Cloud Security、Azure的Security Center或GCP的Security command center，或者是不同的IaaS/PaaS/SaaS的雲端業者。企業在多雲的環境下需要一套系統把這一些雲端業者提供的資安監控給整合起來。為了達到有效整合，我們需要SIEM與SOAR整合來自不同的雲端業者的服務。

再來，企業需要有能力對來自SIEM/SOAR系統內的資料進行處理與分析，並且能讓我們針對一些資安事件進行正確的處理。所以企業會產生了SOC(Security Operations Center)這一個單位，專門來處理企業的各類資安事件。我們將會討論SIEM與SOAR的不同之處，為何企業需要在多雲環境使用它們，以及這些系統在SOC扮演甚麼角色。

SIEM與SOAR的不同之處

對SIEM有概念的人應該都了解，SIEM系統會"收集、聚合、分析"來自不同設備(如Firewall/IPS/IDS)或雲端環境(AWS/Azure/GCP或其他SaaS廠商)的各類事件或日誌。SIEM會對其資料進行資料的"關聯與模式辨認"可能的資安攻擊。SIEM可能會使用機器學習的方式(在筆者10幾年前只有rule-based沒有AI-based)來辨識攻擊的可能性。下圖為一般通用的SIEM架構圖:

而SOAR則比SIEM更進階一些。SOAR除了收集、聚合並分析資料之外，SOAR最大的特點是協作(Orchestration)與自動化(Automation)。企業使用SOAR可以針對資安事件做自動化的回應，並且有一個自動化劇本(playbooks)整合其他系統進行回應。也就是說我們之前在SIEM會經常遇到的資安事件需要手動回應的已經可以自動化了。這一套系統可以讓資安人員把時間花在重要的事情上，像是與業務單位探討組織真正的威脅是甚麼?

SIEM/SOAR在SOC的角色

由於現代企業的數位化越來越重，企業被攻擊的可能性大幅升高。為了應付日益龐大的資安議題，SOC應運而生了。有錢的公司就會自己搞一個SOC，公司沒哪麼大的可能就選擇外包。

SOC是一個24小時不停的組織，負責各類資安資料、日誌、事件的監控與分析還有回應。所以這裡面有各類的資安專家與系統，當然包含了SIEM與SOAR能快速的偵測、評估與回應任何可能的資安事件。

整合性的資安需求設置

在企業花錢買任何的資安軟硬體與服務之前，企業需要有一個根據資安需求所畫出的資安架構圖。這一件事基本上需要資安團隊分為以下四個階段來完成:

偵測(Detect):
多數的資安工具首重在偵測，偵測弱點、實際的攻擊或嘗試的系統攻擊等。最好的範例就是XDR解決方案了。多雲環境中，就架構面而言，我們必須確定我們可以偵測所有的系統或組件的資安事件。
分析(Analyze):
因為偵測會產生很多的資料，所以分析就是不可避免的。分析的第一件事是了解系統與使用者的行為模式，再來是針對所有的資安事件分出優先順序，而這個優先順序依靠我們的系統與資安團隊。 一個簡單的概念是: 哪裡有煙，哪裡就有火。問題是這個火有多大。
回應(Respond):
有了事件的優先順序，我們就需要對此做出回應。像是停止攻擊或是修補漏洞。回應可能還會含有系統/資料的回復，更詳細的資安事件回應可以參閱本部落格資訊安全事故管理一文。
防止(Prevent):
之前提到SIEM/SOAR可以對資安資料進行收集、分析與回應。不過事實上我們應該要做的是防止資安事件的發生，該補的洞要補好。資安團隊要能夠對所有的雲端平台具有"可視性"的能力。AWS/Azure/GCP這些平台其實都提供了弱點修補建議的免費服務給我們，資安團隊應該經常的檢視這些建議。

另外有一件事一定是確定的: 哪就是AWS/Azure/GCP將不遺餘力的在資安解決方案上應用機器學習的方式，來幫助資安人員解決日益複雜的資安事件。

資安模型的實行

其實很多公司已經開始有多雲的環境了，例如使用AWS/Azure/GCP搭配SaaS的M365或Google workspace還有Salesforce。這些雲端業者都有其資安防護解決方案，企業也可能都會使用到。問題在於企業的資安團隊怎麼把這些各家提供的資安工具整合在一起成為一個統一的視角?

定義最終維運模型: 說白了就是在多雲環境中的R&R，誰該負責甚麼樣的功能或工具必須要有明確的定義，不能打迷糊仗。
定義工作流程:接下來定義出整個維運流程，各類的資安是件要怎麼判斷、處理、要通知誰、事件升級等作業流程，這通常是資安團隊與各利害關係人定義出來的結果，而非CISO的責任。C-Suites的責任是做出策略性決定。
分析現有資安工具的功能
差距分析(Gap analysis):
我們永遠都會有"未知的已知"的情形出現。雲端環境內的各種作業，我們是否真的有看到各種可能會發生的資安事件?如果沒有善用 what -if的方式來評估，並且看看我們在分析現有的資安工具能達成多少。
策略計劃:這就是CISO應該要負責的事。要製作這一類的策略計畫首先就是組織的資安成熟度目標。再來是思考一下，甚麼是組織最大的資安風險與威脅。每個組織的考量點不一樣，有時營業損失可能不是最大的考量點。

以下是資安成熟度模型:

多雲環境的資安沒辦法只靠一兩位資安工程師負責，畢竟環境太複雜，組件與服務太多。策略的產生主要會經過以下三個階段:

對組織的業務產生可見度:取得資安政策並以此調整組織的業務和 IT 之間的資安流程。
從業務安全的角度來將資安維運整合進來: 取得可見度後，我們應該以此有相應的監控系統與基準。這一階段通常也會包含風險評估，這是對雲端業者的資安基準做風險評估，並分析這些基準是否符合企業的資安原則
優化:在這裡最後會產生一個統一的視角，通常會是一個包含所有一切資安訊息的儀錶板。

資安整合意味著企業有清楚的流程、工具和專業知識模型。在多雲環境中，這也意味著雲端業者是這些流程、工具和專業知識的一部分。安全架構將承擔"定義、設計和建模"的任務。 SIEM 和 SOAR 工具有助於形成企業整體狀態（或態勢）的綜合視角。

多雲環境的資安監控套件

SIEM這個市場有非常多的產品，意味著企業的選擇將非常多樣。不知道怎麼選可以參考Gartner的魔術象限。通常這些產品都可以直接用REST API的方式與雲端平台直接整合(沒有辦法用API串接的，請直接走報廢程序)。意味著所有資安的資料與事件還有想對應的監控與回應都直接透過API介面來完成這些動作。而這些產品基本上也可以直接在雲端業者的Marketplace找到，並直接使用。

使用 VMware 和 ServiceNow 實施安全維運(SecOps)

之前有提到，現在越來越多的企業進行數位化之後。意味著也可能會發生更多的資安事件，企業不得不在資安方面進行更多的投資以減少資安風險。而有一些企業可能就會選擇VMware與ServiceNow。

VMware大家都知道一開始是一間專做虛擬化的公司，但近年來這間公司開始轉向多雲管理的企業。在2019年，VMware提出Intrinsic Security的產品組合，其中包含了VMware Secure State(原來稱CloudHealth)，是一個SOAR系統。Secure State會分析系統的錯誤配置與威脅，並偵測套用到系統中的任何異動。它會計算這些系統的資安風險，並能夠在系統存在風險時自動採取補救措施。為此，資安工程師需要將資安基準載入到Secure State中，該工具會測量系統是否符合該狀態。 Secure State 可以用在 Azure、AWS、GCP 和同時擁有公有雲和私有雲的混合平台之上的單一工具。私有雲不一定要用 VMware 來運作，有可以用 Hyper-V 或 Openstack來運作私有雲。

而ServiceNow，一套GRC(Governance, Risk, and Compliance)解決方案，一樣可以用多雲的安全維運中。GRC 可以看作是保存企業資安政策和合規性準準的存儲庫。再來，GRC會持續監控系統的合規性，分析風險對組織業務的影響，收集稽核資料。安全維運是 ServiceNow 套件的 SOAR 模組；它持續監控整個 IT 環境的安全狀況，並可以根據在安全維運中定義在作業流程中，當有資安是事件發生時，回應流程是怎麼自動的減緩資安事件。例如，工作流程可以是當安全維運偵測到軟體在超過 6個月內未檢查補丁時暫停系統。如果企業有一條合規性規則，規定至少每 6個月檢查一次軟體是否有補丁，則自動化工作流可以觸發暫停使用該軟體的操作。

雲原生的SIEM: Azure Sentinel / GCP Chronicle

目前市面上的三大公有雲: AWS/Azure/GCP，只有Azure有雲原生的SIEM系統。而Azure Sentinel也包含了SOAR的功能。基本上SIEM/SOAR能做的，Sentinel都可以做了。而Sentinel也整和了微軟的其他產品，例如XDR。但目前Sentinel整合其他公有雲與私有雲的腳步仍需努力，整合的程度還沒有很高。不像第三方產品。而GCP的Chronicle還在發展階段，連自家GCP的服務還不到家。需要多多加油。

以上這些的產品介紹只是整個SIEM/SOAR市場的其中一部份。企業架構師/雲端架構師/資安專家要一起從企業的業務角度來看待資安這件事。從業務層面來定義出資安需求，並從合規框架中訂出各項系統的資安等級。而這些都必須與各系統的利害關係人達成協議。這些high-level的事項訂出來之後，才是選擇那些資安工具符合我們的需要。

總結

企業使用範圍廣泛且種類不斷增加的雲端解決方案。需要保護雲端平台、系統、軟體和資料免受威脅和攻擊。一般來說，一家企業也會有各種資安解決方案。要建立整個 IT 環境安全性的統一視角，企業必須實施支援這種單一視角的資安工具。在本文中，我們討論了 SIEM 和 SOAR 系統，這些工具可以從一堆雲端平台(公有雲/私有雲)與設備收集資料並根據資安基準分析這些資料。理想情況下，這些工具還可以在計算資安風險和業務影響後觸發對威脅的自動回應。