RSA创新沙盒盘点|Torq——无代码安全自动化
日期:2022年06月01日 阅:84
RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。
绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的厂商是:Torq。
一、公司介绍
Torq原名StackPulse,是一家致力于无代码-安全自动化运维的初创公司,于2020年在美国注册成立。Torq公司由Ofer Smadari、Leonid Belkind和Eldad Livni三人共同创建(图1),而在此之前他们还共同创立了专注于云原生零信任领域研究的Luminate Security公司。在创立Luminate之前,Ofer Smadari负责管理Adallom和FireLayers公司的销售和开发运营工作,Eldad Livni和Leonid Belkind则在Check Point软件技术公司负责开发和管理事务,提供企业防火墙等安全产品。
Torq目前已进行四轮融资,总金额达到7800万美元,其中A轮和 B轮融资规模分别为2000和5000万美元[1],由纪源资本(GGV Capital)和洞见创投(Insight Partners)领投。Torq的无代码安全自动化平台使用预构建的模板和简单的拖放界面,安全工程师无需编写代码或部署复杂的工作流程,即可快速集成不同的工具并配置管理策略,从而构建出完整的工作流程。Torq平台的基础设施和运营都经过严格的外部审核,已获得SOC 2类型2认证和ISO 27001认证,并符合最高级别的行业安全和合规标准,如HIPAA和GDPR标准[2]。
图1 Torq公司创始人
二、背景介绍
在介绍Torq公司产品之前,我们首先介绍一下安全自动化技术的发展背景。由于企业的运营环境日益复杂,监测到的安全事件数量不断增加,因此一线安全团队在处理海量数据的过程中往往会不堪重负。此外,随着越来越多的公司采取云化战略,将不同的技术如XDR、CASB、SASE、云防火墙和DLP等结合起来会迅速生成大量不连续的警报,使得安全团队进行威胁狩猎和分析变得十分困难。
安全编排自动化与响应(SOAR)旨在帮助安全团队检测、理解和管理安全威胁,并自动化作出针对威胁的响应,目前已经成为许多安全团队的关键基础工具。网络攻击不断增加、专业安全人才缺乏及传统安全产品中存在的大量虚假警报,均驱动了SOAR市场的增长。市场研究结果表明,2021年全球SOAR市场规模已达到11.6亿美元,Brandessence和Research and markets公司预测SOAR市场的复合年增长率约为15.6%,到2024年可增长至17.91亿美元,2028年将达到31.9亿美元[3-4]。
在使用SOAR和SIEM的过程中,通常会面临缺乏集成和配置复杂这两个不可忽视的问题。为解决上述问题,安全工程师需要编写代码来集成和配置不同工具,如自定义威胁检测规则、编写工具部署脚本等。随着SecOps不断发展,无代码安全自动化作为一种更加轻量级的处理模式,可以帮助安全工程师进一步提升处理安全事件的效率。与SOAR相比,使用Torq平台时无需编写代码,仅需进行拖放和非技术性的操作即可管理安全风险。此外,Torq的无代码-安全自动化平台可以灵活地与现有工具集成,帮助安全人员加速对安全威胁的响应和补救[5]。
然而,Torq平台的定位并不是取代SOAR。拥有网络安全团队的企业可以使用SOAR来检测和管理复杂的网络安全威胁,如专业黑客发起的主动、有针对性的攻击。但当企业面临复杂性相对较低的安全事件时,如钓鱼邮件、敏感数据的保护或恶意用户的检测等,无代码安全自动化工具是一个更高效的解决方案[5]。
三、产品介绍
Torq构造的无代码平台包含多个模块,如自动化威胁情报狩猎、自动化云安全态势修正、安全告警修复、钓鱼邮件响应、可疑用户的调查响应和应用安全模块等,如图2所示[6],下面我们将对这些功能逐一进行介绍。
图2 Torq平台的工作界面
01 自动化威胁狩猎
Torq平台的自动化威胁狩猎模块可以在识别事件发生后立即进行隔离/补救,无需操作人员参与,且可以同时处理多个威胁狩猎进程,不依赖特定专家参与。企业内现有的安全系统,如SIEM 告警规则、EDR/XDR 检测和异常检测产生的告警,都可以触发Torq 平台的威胁狩猎流程。对于每个告警,Torq都会对其进行调查,并更新事件管理系统和触发补救流程。如需进一步查找与失陷检测情报(Indicator of Compromise, IOC)相关的事件,可以在Torq平台内跨多个安全系统进行搜索。
以图3为例[7],Torq会在沙箱中触发接收到的可疑文件,如果判定为恶意文件/IOC,且IOC已经记录在EDR/SIEM数据中,则需要执行以下流程:在EDR中隔离该文件并终止进程、在云存储中删除这一文件,在邮箱中隔离相应邮件并通知用户。
图3 Torq的自动化威胁狩猎流程
02 自动化云安全态势管理
目前发生的许多云安全事件都与配置模板和人工手动操作产生的错误相关,但在大部分云安全态势管理(CSPM)解决方案中,通常需要协调多个团队来跟进和解决配置错误问题,对安全团队的响应速度提出了较高的要求[8]。在Torq平台上,云平台的云安全态势调查结果会触发自动化工作流。Torq会自动聚合多个系统的数据来充实调查结果,并使用Slack和Jira等事务管理和跟踪工具创建交互式工作流来协调团队间的合作。此外,Torq可以自动将更改回滚到稳定状态,并对Kubernetes群集、数据库等平台的错误操作与恶意操作进行自动修复。图4为Torq运行CSPM模块时的流程[8]。
图4 Torq的自动化云安全态势管理流程
03 安全告警修复
虽然一些企业使用了SIEM来整合告警信息,并使用SOAR进行自动化管理,但通常会面临难以有效地添加或维护补救方案(playbooks)的情况。Torq平台通过创建自动化修复告警的工作流,可以缩短响应时间,且兼容大量场景。如图5所示[9],Torq可以通过自动进行事件调查、封禁IP地址或在云防火墙上添加IOC等操作,从而处理简单的告警威胁。在面临复杂的安全威胁时,如补救SaaS平台上的数据泄露防护(DLP)事件,Torq需要创建一个交互式剧本,同时使用公司的通信工具培训用户,使用户能够自行修复问题,从而减轻安全运营团队的负担。
图5 自动化安全告警修复流程
04 钓鱼邮件响应模块
当用户报告潜在的钓鱼邮件或恶意软件时,安全分析师通常需要确定告警的风险等级并做出判断。Torq的钓鱼邮件响应模块通过建立灵活的工作流来减少告警研判所需时间,如图6所示[10]。通过从电子邮件的正文和标题中提取 IOC,例如附件、URL、发件人等,Torq会对其进行扫描、研判并交付研判结果。随后Torq会在安全工具、EDR和SIEM 上搜索含这一IOC的其他邮箱和存储,从所有收件箱中删除恶意邮件,并通过自动电子邮件或即时消息通知用户。
图6 Torq钓鱼邮件响应模块的主要流程
05 用户行为识别
对用户行为的分析可以帮助识别出由用户操作产生的潜在恶意威胁,从而实现对可疑用户和实体行为的监控。尽管目前已有的UEBA和下一代 SIEM 产品使用了机器学习、网络活动监控等技术来对用户/实体行为进行识别,但是安全团队仍需要执行操作来对这些告警进行响应。
Torq平台自动化处理可疑用户活动的流程,包括快速连接UEBA/下一代 SIEM并触发工作流程或启动交互式安全机器人;自动联系用户以验证其操作,如果无法验证用户的操作,则从所有平台注销用户、重置用户凭据、自动隔离用户或设备以确保系统安全,并等待进一步验证。在用户完成验证后,Torq会自动恢复该用户的访问。此外,Torq还可以自动收集来自外部系统或威胁情报平台的UEBA数据,并提交给分析师。
06 其他安全自动化模块
Torq平台可以为应用程序在整个软件开发生命周期中提供安全能力,以降低由源代码、第三方库或数据泄漏等带来的风险。通过与用户的代码存储库集成,Torq可以自动执行安全检查,并构建与代码所有者交互的工作流。通过将Torq平台添加为CI/CD流水线的一部分,该平台可以执行与内部或外部安全工具交互的自动化检查或操作。
Torq还提供了自动化安全机器人这一功能,使用者可以通过Slack或其他聊天工具创建交互式机器人,并使用这些工具进行收集数据、执行典型操作、运行审批工作流等任务。除此之外,Torq的身份生命周期管理模块可以连接身份提供者(如Okta、Azure AD)和下游工具,在每次创建、修改或注销用户时,都会自动更新设备、网络和访问策略,确保企业资源持续提供自动化的访问控制能力。
07 与SOAR功能的比较
作为一个无代码的安全自动化平台,Torq与SOAR解决方案存在着部分重叠的功能特性。两种方案都旨在帮助企业更有效地管理风险,支持自动化的风险识别和管理,而且不仅可以检测风险并发送警报,还可以用于管理风险并进行响应。此外,这两类工具都可以与各种系统和环境集成,包括在内部、公共云和混合云等场景中使用。
然而Torq平台和SOAR仍存在着较大的差异,Torq的优势在于其使用简便易用,适用人群不局限于安全专家。不仅配置安全规则的流程十分简便,而且在使用Torq的自动化框架进行威胁响应时,无需编写任何代码。虽然SOAR会提供一些自动修复功能,但它更侧重于帮助网络安全人员协调威胁响应,而不是实际修复威胁。与之不同的是,Torq平台的自动化框架可以实现对部分安全告警的自动化修复。此外,传统的SOAR侧重于识别运行时的威胁与风险,而Torq在保证运行时安全的同时,还可以解决云安全态势管理等领域的部分问题[5]。
四、总结
Torq作为一款轻量级无代码的安全自动化平台,以其较高的自动化水平、简便易用的特点填补了基于SOAR在SecOps战略中的空白,使企业能够建立以安全为中心的文化,并尽可能全面、自动化地应对威胁。Torq平台修复告警的自动化工作流可以帮助使用人员对威胁进行修复,但从官网给出的示例可以推测,这一功能支持修复的警报类型可能并不全面。如何支持更加丰富种类的威胁修复可能是Torq平台进一步发展的方向,这也是安全自动化领域十分重要的研究内容。
在网络安全大数据化的背景下,如何提升安全运营工具的自动化水平,减少对人员和专家的依赖,对提高威胁响应速度和效率至关重要。安全自动化产品具有广阔的市场空间,以Torq为代表的高度自动化平台能够推动这一领域向更加自动化、更加高效、更加简便的方向发展。
参考文献
[1]https://www.crunchbase.com/organization/stackpulse/company_financials
[2]https://torq.io/security-compliance/
[3]https://www.prnewswire.com/news-releases/at-15-58-cagr-security-orchestration-automation-and-response-soar-market-to-hit-usd-3-19-billion-by-2028–says-brandessence-market-research-301491453.html
[4]https://www.researchandmarkets.com/reports/4833635/security-orchestration-automation-and-response
[5]https://thenewstack.io/soars-vs-no-code-security-automation-the-case-for-both/
[6]https://torq.io/
[7]https://torq.io/use-cases/threat-hunting/
[8]https://torq.io/use-cases/cloud-security-posture-management/
[9]https://torq.io/use-cases/security-alert-remediation/
[10]https://torq.io/use-cases/email-phishing-response/