RSA創新沙盒盤點｜Torq——無程式碼安全自動化

RSAConference2022將於舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的廠商是：Torq。

一、公司介紹
Torq原名StackPulse，是一家致力於無程式碼-安全自動化運維的初創公司，於2020年在美國註冊成立。Torq公司由Ofer Smadari、Leonid Belkind和Eldad Livni三人共同建立（圖1），而在此之前他們還共同創立了專注於雲原生零信任領域研究的Luminate Security公司。在創立Luminate之前，Ofer Smadari負責管理Adallom和FireLayers公司的銷售和開發運營工作，Eldad Livni和Leonid Belkind則在Check Point軟體技術公司負責開發和管理事務，提供企業防火牆等安全產品。

Torq目前已進行四輪融資，總金額達到7800萬美元，其中A輪和 B輪融資規模分別為2000和5000萬美元[1]，由紀源資本（GGV Capital）和洞見創投（Insight Partners）領投。Torq的無程式碼安全自動化平臺使用預構建的模板和簡單的拖放介面，安全工程師無需編寫程式碼或部署複雜的工作流程，即可快速整合不同的工具並配置管理策略，從而構建出完整的工作流程。Torq平臺的基礎設施和運營都經過嚴格的外部稽核，已獲得SOC 2型別2認證和ISO 27001認證，並符合最高階別的行業安全和合規標準，如HIPAA和GDPR標準[2]。

圖1 Torq公司創始人

二、背景介紹
在介紹Torq公司產品之前，我們首先介紹一下安全自動化技術的發展背景。由於企業的運營環境日益複雜，監測到的安全事件數量不斷增加，因此一線安全團隊在處理海量資料的過程中往往會不堪重負。此外，隨著越來越多的公司採取雲化戰略，將不同的技術如XDR、CASB、SASE、雲防火牆和DLP等結合起來會迅速生成大量不連續的警報，使得安全團隊進行威脅狩獵和分析變得十分困難。

安全編排自動化與響應（SOAR）旨在幫助安全團隊檢測、理解和管理安全威脅，並自動化作出針對威脅的響應，目前已經成為許多安全團隊的關鍵基礎工具。網路攻擊不斷增加、專業安全人才缺乏及傳統安全產品中存在的大量虛假警報，均驅動了SOAR市場的增長。市場研究結果表明，2021年全球SOAR市場規模已達到11.6億美元，Brandessence和Research and markets公司預測SOAR市場的複合年增長率約為15.6%，到2024年可增長至17.91億美元，2028年將達到31.9億美元[3-4]。

在使用SOAR和SIEM的過程中，通常會面臨缺乏整合和配置複雜這兩個不可忽視的問題。為解決上述問題，安全工程師需要編寫程式碼來整合和配置不同工具，如自定義威脅檢測規則、編寫工具部署指令碼等。隨著SecOps不斷髮展，無程式碼安全自動化作為一種更加輕量級的處理模式，可以幫助安全工程師進一步提升處理安全事件的效率。與SOAR相比，使用Torq平臺時無需編寫程式碼，僅需進行拖放和非技術性的操作即可管理安全風險。此外，Torq的無程式碼-安全自動化平臺可以靈活地與現有工具整合，幫助安全人員加速對安全威脅的響應和補救[5]。

然而，Torq平臺的定位並不是取代SOAR。擁有網路安全團隊的企業可以使用SOAR來檢測和管理複雜的網路安全威脅，如專業黑客發起的主動、有針對性的攻擊。但當企業面臨複雜性相對較低的安全事件時，如釣魚郵件、敏感資料的保護或惡意使用者的檢測等，無程式碼安全自動化工具是一個更高效的解決方案[5]。

三、產品介紹
Torq構造的無程式碼平臺包含多個模組，如自動化威脅情報狩獵、自動化雲安全態勢修正、安全告警修復、釣魚郵件響應、可疑使用者的調查響應和應用安全模組等，如圖2所示[6]，下面我們將對這些功能逐一進行介紹。

圖2 Torq平臺的工作介面

01自動化威脅狩獵
Torq平臺的自動化威脅狩獵模組可以在識別事件發生後立即進行隔離/補救，無需操作人員參與，且可以同時處理多個威脅狩獵程式，不依賴特定專家參與。企業內現有的安全系統，如SIEM 告警規則、EDR/XDR 檢測和異常檢測產生的告警，都可以觸發Torq 平臺的威脅狩獵流程。對於每個告警，Torq都會對其進行調查，並更新事件管理系統和觸發補救流程。如需進一步查詢與失陷檢測情報（Indicator of Compromise, IOC）相關的事件，可以在Torq平臺內跨多個安全系統進行搜尋。

以圖3為例[7]，Torq會在沙箱中觸發接收到的可疑檔案，如果判定為惡意檔案/IOC，且IOC已經記錄在EDR/SIEM資料中，則需要執行以下流程：在EDR中隔離該檔案並終止程式、在雲端儲存中刪除這一檔案，在郵箱中隔離相應郵件並通知使用者。

圖3 Torq的自動化威脅狩獵流程

02自動化雲安全態勢管理
目前發生的許多雲安全事件都與配置模板和人工手動操作產生的錯誤相關，但在大部分雲安全態勢管理（CSPM）解決方案中，通常需要協調多個團隊來跟進和解決配置錯誤問題，對安全團隊的響應速度提出了較高的要求[8]。在Torq平臺上，雲平臺的雲安全態勢調查結果會觸發自動化工作流。Torq會自動聚合多個系統的資料來充實調查結果，並使用Slack和Jira等事務管理和跟蹤工具建立互動式工作流來協調團隊間的合作。此外，Torq可以自動將更改回滾到穩定狀態，並對Kubernetes群集、資料庫等平臺的錯誤操作與惡意操作進行自動修復。圖4為Torq執行CSPM模組時的流程[8]。

圖4 Torq的自動化雲安全態勢管理流程

03安全告警修復
雖然一些企業使用了SIEM來整合告警資訊，並使用SOAR進行自動化管理，但通常會面臨難以有效地新增或維護補救方案（playbooks）的情況。Torq平臺通過建立自動化修復告警的工作流，可以縮短響應時間，且相容大量場景。如圖5所示[9]，Torq可以通過自動進行事件調查、封禁IP地址或在雲防火牆上新增IOC等操作，從而處理簡單的告警威脅。在面臨複雜的安全威脅時，如補救SaaS平臺上的資料洩露防護（DLP）事件，Torq需要建立一個互動式劇本，同時使用公司的通訊工具培訓使用者，使使用者能夠自行修復問題，從而減輕安全運營團隊的負擔。

圖5 自動化安全告警修復流程

04釣魚郵件響應模組
當使用者報告潛在的釣魚郵件或惡意軟體時，安全分析師通常需要確定告警的風險等級並做出判斷。Torq的釣魚郵件響應模組通過建立靈活的工作流來減少告警研判所需時間，如圖6所示[10]。通過從電子郵件的正文和標題中提取 IOC，例如附件、URL、發件人等，Torq會對其進行掃描、研判並交付研判結果。隨後Torq會在安全工具、EDR和SIEM 上搜尋含這一IOC的其他郵箱和儲存，從所有收件箱中刪除惡意郵件，並通過自動電子郵件或即時訊息通知使用者。

圖6 Torq釣魚郵件響應模組的主要流程

05使用者行為識別
對使用者行為的分析可以幫助識別出由使用者操作產生的潛在惡意威脅，從而實現對可疑使用者和實體行為的監控。儘管目前已有的UEBA和下一代 SIEM 產品使用了機器學習、網路活動監控等技術來對使用者/實體行為進行識別，但是安全團隊仍需要執行操作來對這些告警進行響應。

Torq平臺自動化處理可疑使用者活動的流程，包括快速連線UEBA/下一代 SIEM並觸發工作流程或啟動互動式安全機器人；自動聯絡使用者以驗證其操作，如果無法驗證使用者的操作，則從所有平臺登出使用者、重置使用者憑據、自動隔離使用者或裝置以確保系統安全，並等待進一步驗證。在使用者完成驗證後，Torq會自動恢復該使用者的訪問。此外，Torq還可以自動收集來自外部系統或威脅情報平臺的UEBA資料，並提交給分析師。

06其他安全自動化模組
Torq平臺可以為應用程式在整個軟體開發生命週期中提供安全能力，以降低由原始碼、第三方庫或資料洩漏等帶來的風險。通過與使用者的程式碼儲存庫整合，Torq可以自動執行安全檢查，並構建與程式碼所有者互動的工作流。通過將Torq平臺新增為CI/CD流水線的一部分，該平臺可以執行與內部或外部安全工具互動的自動化檢查或操作。

Torq還提供了自動化安全機器人這一功能，使用者可以通過Slack或其他聊天工具建立互動式機器人，並使用這些工具進行收集資料、執行典型操作、執行審批工作流等任務。除此之外，Torq的身份生命週期管理模組可以連線身份提供者（如Okta、Azure AD）和下游工具，在每次建立、修改或登出使用者時，都會自動更新裝置、網路和訪問策略，確保企業資源持續提供自動化的訪問控制能力。

07與SOAR功能的比較
作為一個無程式碼的安全自動化平臺，Torq與SOAR解決方案存在著部分重疊的功能特性。兩種方案都旨在幫助企業更有效地管理風險，支援自動化的風險識別和管理，而且不僅可以檢測風險併傳送警報，還可以用於管理風險並進行響應。此外，這兩類工具都可以與各種系統和環境整合，包括在內部、公共雲和混合雲等場景中使用。

然而Torq平臺和SOAR仍存在著較大的差異，Torq的優勢在於其使用簡便易用，適用人群不侷限於安全專家。不僅配置安全規則的流程十分簡便，而且在使用Torq的自動化框架進行威脅響應時，無需編寫任何程式碼。雖然SOAR會提供一些自動修復功能，但它更側重於幫助網路安全人員協調威脅響應，而不是實際修復威脅。與之不同的是，Torq平臺的自動化框架可以實現對部分安全告警的自動化修復。此外，傳統的SOAR側重於識別執行時的威脅與風險，而Torq在保證執行時安全的同時，還可以解決雲安全態勢管理等領域的部分問題[5]。

四、總結
Torq作為一款輕量級無程式碼的安全自動化平臺，以其較高的自動化水平、簡便易用的特點填補了基於SOAR在SecOps戰略中的空白，使企業能夠建立以安全為中心的文化，並儘可能全面、自動化地應對威脅。Torq平臺修復告警的自動化工作流可以幫助使用人員對威脅進行修復，但從官網給出的示例可以推測，這一功能支援修復的警報型別可能並不全面。如何支援更加豐富種類的威脅修復可能是Torq平臺進一步發展的方向，這也是安全自動化領域十分重要的研究內容。

在網路安全大資料化的背景下，如何提升安全運營工具的自動化水平，減少對人員和專家的依賴，對提高威脅響應速度和效率至關重要。安全自動化產品具有廣闊的市場空間，以Torq為代表的高度自動化平臺能夠推動這一領域向更加自動化、更加高效、更加簡便的方向發展。
參考文獻
[1]https://www.crunchbase.com/organization/stackpulse/company_financials
[2]https://torq.io/security-compliance/
[3]https://www.prnewswire.com/news-releases/at-15-58-cagr-security-orchestration-automation-and-response-soar-market-to-hit-usd-3-19-billion-by-2028--says-brandessence-market-research-301491453.html
[4]https://www.researchandmarkets.com/reports/4833635/security-orchestration-automation-and-response
[5]https://thenewstack.io/soars-vs-no-code-security-automation-the-case-for-both/
[6]https://torq.io/
[7]https://torq.io/use-cases/threat-hunting/
[8]https://torq.io/use-cases/cloud-security-posture-management/
[9]https://torq.io/use-cases/security-alert-remediation/
[10]https://torq.io/use-cases/email-phishing-response/