Torq：無代碼安全自動化

RSAConference2022將于舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網絡安全行業技術創新和投資的風向標。

前不久，RSA官方宣布了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的廠商是：Torq。

一、公司介紹

Torq原名StackPulse，是一家致力于無代碼-安全自動化運維的初創公司，于2020年在美國注冊成立。Torq公司由Ofer Smadari、Leonid Belkind和Eldad Livni三人共同創建（圖1），而在此之前他們還共同創立了專注于云原生零信任領域研究的Luminate Security公司。在創立Luminate之前，Ofer Smadari負責管理Adallom和FireLayers公司的銷售和開發運營工作，Eldad Livni和Leonid Belkind則在Check Point軟件技術公司負責開發和管理事務，提供企業防火墻等安全產品。

Torq目前已進行四輪融資，總金額達到7800萬美元，其中A輪和 B輪融資規模分別為2000和5000萬美元^[1]，由紀源資本（GGV Capital）和洞見創投（Insight Partners）領投。Torq的無代碼安全自動化平臺使用預構建的模板和簡單的拖放界面，安全工程師無需編寫代碼或部署復雜的工作流程，即可快速集成不同的工具并配置管理策略，從而構建出完整的工作流程。Torq平臺的基礎設施和運營都經過嚴格的外部審核，已獲得SOC 2類型2認證和ISO 27001認證，并符合最高級別的行業安全和合規標準，如HIPAA和GDPR標準^[2]。

圖1 Torq公司創始人

二、背景介紹

在介紹Torq公司產品之前，我們首先介紹一下安全自動化技術的發展背景。由于企業的運營環境日益復雜，監測到的安全事件數量不斷增加，因此一線安全團隊在處理海量數據的過程中往往會不堪重負。此外，隨著越來越多的公司采取云化戰略，將不同的技術如XDR、CASB、SASE、云防火墻和DLP等結合起來會迅速生成大量不連續的警報，使得安全團隊進行威脅狩獵和分析變得十分困難。

安全編排自動化與響應（SOAR）旨在幫助安全團隊檢測、理解和管理安全威脅，并自動化作出針對威脅的響應，目前已經成為許多安全團隊的關鍵基礎工具。網絡攻擊不斷增加、專業安全人才缺乏及傳統安全產品中存在的大量虛假警報，均驅動了SOAR市場的增長。市場研究結果表明，2021年全球SOAR市場規模已達到11.6億美元，Brandessence和Research and markets公司預測SOAR市場的復合年增長率約為15.6%，到2024年可增長至17.91億美元，2028年將達到31.9億美元^[3-4]。

在使用SOAR和SIEM的過程中，通常會面臨缺乏集成和配置復雜這兩個不可忽視的問題。為解決上述問題，安全工程師需要編寫代碼來集成和配置不同工具，如自定義威脅檢測規則、編寫工具部署腳本等。隨著SecOps不斷發展，無代碼安全自動化作為一種更加輕量級的處理模式，可以幫助安全工程師進一步提升處理安全事件的效率。與SOAR相比，使用Torq平臺時無需編寫代碼，僅需進行拖放和非技術性的操作即可管理安全風險。此外，Torq的無代碼-安全自動化平臺可以靈活地與現有工具集成，幫助安全人員加速對安全威脅的響應和補救^[5]。

然而，Torq平臺的定位并不是取代SOAR。擁有網絡安全團隊的企業可以使用SOAR來檢測和管理復雜的網絡安全威脅，如專業黑客發起的主動、有針對性的攻擊。但當企業面臨復雜性相對較低的安全事件時，如釣魚郵件、敏感數據的保護或惡意用戶的檢測等，無代碼安全自動化工具是一個更高效的解決方案^[5]。

三、產品介紹

Torq構造的無代碼平臺包含多個模塊，如自動化威脅情報狩獵、自動化云安全態勢修正、安全告警修復、釣魚郵件響應、可疑用戶的調查響應和應用安全模塊等，如圖2所示^[6]，下面我們將對這些功能逐一進行介紹。

圖2 Torq平臺的工作界面

01 自動化威脅狩獵

Torq平臺的自動化威脅狩獵模塊可以在識別事件發生后立即進行隔離/補救，無需操作人員參與，且可以同時處理多個威脅狩獵進程，不依賴特定專家參與。企業內現有的安全系統，如SIEM 告警規則、EDR/XDR 檢測和異常檢測產生的告警，都可以觸發Torq 平臺的威脅狩獵流程。對于每個告警，Torq都會對其進行調查，并更新事件管理系統和觸發補救流程。如需進一步查找與失陷檢測情報（Indicator of Compromise, IOC）相關的事件，可以在Torq平臺內跨多個安全系統進行搜索。

以圖3為例^[7]，Torq會在沙箱中觸發接收到的可疑文件，如果判定為惡意文件/IOC，且IOC已經記錄在EDR/SIEM數據中，則需要執行以下流程：在EDR中隔離該文件并終止進程、在云存儲中刪除這一文件，在郵箱中隔離相應郵件并通知用戶。

圖3 Torq的自動化威脅狩獵流程

02自動化云安全態勢管理

目前發生的許多云安全事件都與配置模板和人工手動操作產生的錯誤相關，但在大部分云安全態勢管理（CSPM）解決方案中，通常需要協調多個團隊來跟進和解決配置錯誤問題，對安全團隊的響應速度提出了較高的要求^[8]。在Torq平臺上，云平臺的云安全態勢調查結果會觸發自動化工作流。Torq會自動聚合多個系統的數據來充實調查結果，并使用Slack和Jira等事務管理和跟蹤工具創建交互式工作流來協調團隊間的合作。此外，Torq可以自動將更改回滾到穩定狀態，并對Kubernetes群集、數據庫等平臺的錯誤操作與惡意操作進行自動修復。圖4為Torq運行CSPM模塊時的流程^[8]。

圖4 Torq的自動化云安全態勢管理流程

03安全告警修復

雖然一些企業使用了SIEM來整合告警信息，并使用SOAR進行自動化管理，但通常會面臨難以有效地添加或維護補救方案（playbooks）的情況。Torq平臺通過創建自動化修復告警的工作流，可以縮短響應時間，且兼容大量場景。如圖5所示^[9]，Torq可以通過自動進行事件調查、封禁IP地址或在云防火墻上添加IOC等操作，從而處理簡單的告警威脅。在面臨復雜的安全威脅時，如補救SaaS平臺上的數據泄露防護（DLP）事件，Torq需要創建一個交互式劇本，同時使用公司的通信工具培訓用戶，使用戶能夠自行修復問題，從而減輕安全運營團隊的負擔。

圖5 自動化安全告警修復流程

04釣魚郵件響應模塊

當用戶報告潛在的釣魚郵件或惡意軟件時，安全分析師通常需要確定告警的風險等級并做出判斷。Torq的釣魚郵件響應模塊通過建立靈活的工作流來減少告警研判所需時間，如圖6所示^[10]。通過從電子郵件的正文和標題中提取 IOC，例如附件、URL、發件人等，Torq會對其進行掃描、研判并交付研判結果。隨后Torq會在安全工具、EDR和SIEM 上搜索含這一IOC的其他郵箱和存儲，從所有收件箱中刪除惡意郵件，并通過自動電子郵件或即時消息通知用戶。

圖6 Torq釣魚郵件響應模塊的主要流程

05用戶行為識別

對用戶行為的分析可以幫助識別出由用戶操作產生的潛在惡意威脅，從而實現對可疑用戶和實體行為的監控。盡管目前已有的UEBA和下一代 SIEM 產品使用了機器學習、網絡活動監控等技術來對用戶/實體行為進行識別，但是安全團隊仍需要執行操作來對這些告警進行響應。

Torq平臺自動化處理可疑用戶活動的流程，包括快速連接UEBA/下一代 SIEM并觸發工作流程或啟動交互式安全機器人；自動聯系用戶以驗證其操作，如果無法驗證用戶的操作，則從所有平臺注銷用戶、重置用戶憑據、自動隔離用戶或設備以確保系統安全，并等待進一步驗證。在用戶完成驗證后，Torq會自動恢復該用戶的訪問。此外，Torq還可以自動收集來自外部系統或威脅情報平臺的UEBA數據，并提交給分析師。

06其他安全自動化模塊

Torq平臺可以為應用程序在整個軟件開發生命周期中提供安全能力，以降低由源代碼、第三方庫或數據泄漏等帶來的風險。通過與用戶的代碼存儲庫集成，Torq可以自動執行安全檢查，并構建與代碼所有者交互的工作流。通過將Torq平臺添加為CI/CD流水線的一部分，該平臺可以執行與內部或外部安全工具交互的自動化檢查或操作。

Torq還提供了自動化安全機器人這一功能，使用者可以通過Slack或其他聊天工具創建交互式機器人，并使用這些工具進行收集數據、執行典型操作、運行審批工作流等任務。除此之外，Torq的身份生命周期管理模塊可以連接身份提供者（如Okta、Azure AD）和下游工具，在每次創建、修改或注銷用戶時，都會自動更新設備、網絡和訪問策略，確保企業資源持續提供自動化的訪問控制能力。

07與SOAR功能的比較

作為一個無代碼的安全自動化平臺，Torq與SOAR解決方案存在著部分重疊的功能特性。兩種方案都旨在幫助企業更有效地管理風險，支持自動化的風險識別和管理，而且不僅可以檢測風險并發送警報，還可以用于管理風險并進行響應。此外，這兩類工具都可以與各種系統和環境集成，包括在內部、公共云和混合云等場景中使用。

然而Torq平臺和SOAR仍存在著較大的差異，Torq的優勢在于其使用簡便易用，適用人群不局限于安全專家。不僅配置安全規則的流程十分簡便，而且在使用Torq的自動化框架進行威脅響應時，無需編寫任何代碼。雖然SOAR會提供一些自動修復功能，但它更側重于幫助網絡安全人員協調威脅響應，而不是實際修復威脅。與之不同的是，Torq平臺的自動化框架可以實現對部分安全告警的自動化修復。此外，傳統的SOAR側重于識別運行時的威脅與風險，而Torq在保證運行時安全的同時，還可以解決云安全態勢管理等領域的部分問題^[5]。

四、總結

Torq作為一款輕量級無代碼的安全自動化平臺，以其較高的自動化水平、簡便易用的特點填補了基于SOAR在SecOps戰略中的空白，使企業能夠建立以安全為中心的文化，并盡可能全面、自動化地應對威脅。Torq平臺修復告警的自動化工作流可以幫助使用人員對威脅進行修復，但從官網給出的示例可以推測，這一功能支持修復的警報類型可能并不全面。如何支持更加豐富種類的威脅修復可能是Torq平臺進一步發展的方向，這也是安全自動化領域十分重要的研究內容。

在網絡安全大數據化的背景下，如何提升安全運營工具的自動化水平，減少對人員和專家的依賴，對提高威脅響應速度和效率至關重要。安全自動化產品具有廣闊的市場空間，以Torq為代表的高度自動化平臺能夠推動這一領域向更加自動化、更加高效、更加簡便的方向發展。