引言
Torq成立于2020年初,其总部位于美国纽约,公司致力于为安全运营人员开发无代码自动化平台(no-code automation platform),帮助客户的安全运营团队快速地识别网络安全威胁并做出响应。在成立的三年多时间里,Torq累计获得超过7800万美元的融资,得到Bessermer、GGV等国际一线投资机构的青睐,成为了安全运营领域不可忽视的新生代势力。
历史沿革
Torq的三位联合创始人,Ofer Smardari、Leonid Belkind、Eldad Livini都是以色列人,也都是特拉维夫大学的校友。早在2017年,三人共同创立了云原生安全公司Luminate Security。该公司的使命是帮助企业确保其终端用户可以从世界任何地方、使用任何设备安全地连接到本地和云端的企业应用程序。Luminate Security累计获得1400万美元的融资,于2019年被网安巨头Symantec(EDR,NDR)以超过2亿美元的价格收购。Luminate Security被收购后,三人加入Symantec新成立的零信任部门担任要职,以帮助完成并购后的整合工作。
在整合的相关工作基本完成后,2019年底三人决定再次携手出山,踏上新一段的创业之旅。这一次,他们的目标领域从云原生安全变成了安全运营自动化。谈及本次创业的初心,创始人Ofer如此表示:“尽管安全运营领域的自动化程度不断提升,但安全运营的质量和效率却下降了。人们需要的是一个通用的自动化平台。”
于是在2020年1月,三人在纽约联合成立了StackPulse,这是一个面向网络开发人员与工程师的可靠性平台(Reliability Platform),希望通过自动化方式帮助他们减少日常工作中的警报疲劳,缩短平均响应时间并提供警报分级服务。由于三位联合创始人的光鲜履历,StackPulse在成立初始便获得由Bessemer领投、Cerca Partners和TechAviv跟投的800万美元种子轮融资,用于支持团队开发产品原型。2021年初,公司进一步完成了由GGV领投,Bessemer和Cerca跟投的2000万美元的A轮融资,并很快在5月以StackPulse名义,推出了原型产品的免费版本与企业级版本。
2022年1月,公司由StackPulse更名为Torq,并开始以新名字对外正式售卖产品,同时率先喊出了安全运营领域“超自动化(Hyperautomation)”平台的概念,以和传统以SOAR为代表的自动化的产品进行区分。2022年6月,Torq成功入围RSA创新沙盒大赛十强,在全球范围内获得更广泛的知名度。两个月后,Torq高调对外宣布完成了新一轮由Insight Partners领投,SentinelOne、GGV、Bessemer跟投的5000万美元的B轮融资。业内战投方SentinelOne的加入,不仅体现了行业对Torq技术的认可,更体现了行业对其产品革命性的期待。同期,Torq的业绩也实现了爆发式的增长。在2022年的前三季度中,Torq宣称实现了385%的用户增长,360%的营收增长,以及150%的团队人员增长,与其合作的技术集成商也已经超过了100个。
2022年底,Torq发布了名为Torq Insights的新分析与报告覆盖层,为用户提供持续管理、监控和迭代发展安全自动化堆栈所需的运营数据,并宣称已实现每日安全自动化执行超过100万次的新里程碑。2023年2月,Torq又推出了Parallel Loop功能,进一步缩短了完成工作流自动化所需要的时间。2023年6月,Torq推出了新的合伙人计划,与更多业内经销商、售后服务商、以及安全运营托管商合作,进一步拓宽了产品的销售渠道。2023年8月,Torq发布了革命性的Torq Socrates,这是安全运营领域首个采用人工智能大语言模型的产品。Torq宣称,新发布的Socrates能帮助安全运营人员以自动化的方式解决超过90%的初级安全问题。在下文,我们将对Torq发布的这些产品进行更为详细的介绍。
下表总结了自公司成立以来,Torq获得外部融资的情况。
技术基础
尽管Torq宣称对比传统的SOAR产品,其自主研发的安全运营“超自动化”平台在处理威胁的速度上有了超过10倍的提升,但就底层技术而言,这种所谓的“超自动化”仍是建立在对组织安全能力编排(Security Capability Ochestration)的基础之上的,因此与SOAR的技术核心并无二致。安全运营人员在日常工作中需要与大量不同的设备、系统打交道,并在大量的安全工具间来回切换。尽管已经部署了SIEM等在一定程度上可以集中采集安全数据的工具,但在实际操作中,安全人员往往还需要依据安全流程调用其他来源的信息来辅助最终的决策。与此同时,在决策之后的处置环节,安全人员也需要调用来自本地或是云端的、各种不同的安全产品与服务来对安全事件做出响应。所谓安全能力的编排化,就是指借助剧本编排器,自上而下将组织既有的安全运营过规程进行形式化的落地,将组织现有各项安全功能转换成处置实际安全问题的能力,并将这些能力通过技术集成(而不是简单的数据集成)的方式编排起来,生成有关安全运营过程的剧本。下图详细展示了对安全能力进行编排的具体流程。
在对安全能力进行编排的基础上,安全流程的自动化(Secutiry Process Automation)才成为可能。应该承认,安全领域的自动化并非是什么新鲜的概念。在SOAR推出之前,针对特定安全功能——如资产发现、数据采集等——的自动化技术便已存在。然而,这些单点的、互相孤立的自动化产品并不能很好适应安全运营高度复杂的工作环境。由于没有从安全运营人员的实操角度出发,自动化程度的提高甚至会影响安全运营的质量与效率。安全运营人员需要的是一个具有全过程自动化能力的平台型产品,能帮助自己将安全运营过程中涉及到的多个技术节点自动地衔接起来。对于一个典型的SOAR平台而言,其涉及的自动化流程可以涉及告警分诊、剧本执行、应用执行、服务调用等多个环节。下图系统地展示了自动化改造的可能技术节点。
产品功能
Torq的产品就是在对传统SOAR产品进行改造的基础上诞生的。具体而言,Torq在保留了SOAR安全编排的基本思路的同时,通过引入低代码、人工智能等新技术手段帮助安全运营人员实现自动化的飞跃。其主打的Torq超自动化平台为安全运营人员提供了一个直观且简单的工具来创建可以自动化执行的剧本,其中不仅包括组织既有技术能力的集成,还包括多个实用的、场景化的内置模板,这能帮助安全运营团队在几分钟内通过可视化界面构建复杂的安全事件解决方案,还提供事后复盘与分析功能。目前,Torq的产品以订阅制的方式面向企业级的客户进行销售,根据订阅级别的不同,客户会获得平台功能的不同权限。
技术能力集成
Torq平台将组织现有的所有安全工具和供应商连接到一起,为安全运营的自动化奠定基础。截至目前,Torq已经与超过150个供应商达成了合作关系,其中不仅包括Palo Alto Networks、Netskope等专业网络安全公司,还包括Microsoft、AWS等云服务提供商。用户可以轻松地将这些伙伴供应商的工具与服务接入Torq平台,同时Torq也允许用户添加其他的三方供应商的工具与服务。这些工具被分为触发(Trigger)与步骤(Steps)两类,前者是那些与警告、事件触发有关的工具,后者则与事件处置工作流程的具体步骤有关。这些与第三方服务的链接都通过API来实现,并通过身份验证来确保交互的安全。
个性化剧本编排
运用Torq平台集成的各类安全工具与服务,用户便可以在组织现有的安全运营规章的指导下,使用平台内置的剧本编排器来实现剧本的个性化编排。如下图所示,在剧本编排界面,用户可以通过简单的鼠标点击、拖拽的方式,对应用动作(如API调用)、人工任务(如审批)、条件分支(如子剧本)等元素进行模块化编辑,最终构成针对特定安全威胁的图形化剧本。针对剧本中的每个元素,管理员还可以根据组织的需要进行更详细的自定义设置。无代码技术的运用大大简化了安全编排的流程,而且在后续剧本的自动化执行过程中也不牵扯任何代码的编写,这不仅降低了安全运营工作的专业门槛,而且提升了用户面对复杂安全事件时的处置灵活性。
内置剧本模板
除了允许用户对剧本进行自定义编排外,Torq还为用户提供了数十个——并在不断扩充的——场景化内置模块,来帮助用户更高效地完成剧本编排,其中包括威胁情报狩猎、云安全态势管理、可疑IP调查处置、钓鱼邮件响应、用户行为分析等。以威胁情报狩猎模块为例,组织内现有的安全工具,如SIEM、EDR、NDR等检测异常产生的警告,都会自动触发Torq内置的威胁狩猎流程。对于每个告警,Torq会首先在沙箱中对接收到的可疑文件进行分析,如果该文件被判定为恶意,Torq则会进一步在EDR、SIEM等存储数据中搜索是否有已经存在有关的记录。如果相关的先前记录被找到,Torq则会根据搜索结果的来源不同采取相应的处置措施,如隔离该文件并终止进程(EDR)、直接删除文件(云存储),隔离相应邮件并通知用户(邮箱)。下图展示了Torq威胁情报狩猎模块对应的剧本编排。
又比如钓鱼软件响应模块。该模块允许Torq对用户邮箱接收到的新邮件进行实时监控,自动从邮件的正文和标题中提取相关的附件、链接、IP地址等信息的IOC,并在对该IOC进行背景丰富化的基础上判断该IOC是否为恶意。对于那些被认定为恶意的IOC,Torq会自动在其它安全工具(如EDR、SIEM)上搜索是否有已经存在有关的记录,然后对相关邮件进行隔离或直接删除,同时会将该恶意IOC加入EDR、SIEM和防火墙的黑名单,最后形成调查报告并自动通过消息通知用户。下图展示了Torq钓鱼软件相应模块对应的剧本编排。
安全事件管理
当安全事件被触发后,事先编排好的剧本便会自动执行,生成相应的事件案例,并被收入Torq平台的案例库中。用户可以通过案例库统一管理那些正在处理中、以及已经处理完毕的安全事件。具体而言,用户可以通过滤镜来对案例进行筛选,然后进一步了解那些感兴趣的事件的处理进度和细节。如下图所示,用户可以根据事件生成的时间、严重性、类别(包含自定义类别与内置类别)、处理负责人等来搜索相关事件,然后通过分析事件的时间线——迄今为止所采取的与案件相关的行动的完整总结——来清楚地了解事件的处理进度并有效地计划下一步措施。如果有必要的话,用户还可以手动向案例添加附件,如屏幕截图、源代码等,以提供附加信息或上下文,或是将不同的案例进行关联,从而为调查过程提供更全面的背景以更有效地跟踪相关事件。
报告与分析
2022年8月,Torq推出了Torq Insights,为平台赋予了新的报告与分析功能。该界面为用户全方位地展示了可持续管理、监控安全自动化流程的运营数据。如下图所示,用户可以通过这个界面获得组织使用Torq及各类安全软件的数据,如已经帮助用户节省的时间、贡献节省时间最多的工作流程、累计使用次数最多的工作流程及其使用频次变化等。Torq Insights除了能帮助用户实现对工作流进行实时的管理与监控之外,还允许用户清晰地、快速地比较各类安全工具在组织内部使用的性能和有效性,并与行业的最佳实践进行对比,从而帮助用户更好迭代安全自动化的流程,以确保能从组织已经拥有的各项安全工具中获得最大收益。
其他效率工具
Parallel Loop
2022年12月,推出了Parallel Loop功能。这个功能允许在工作流中并行处理多个安全任务,从而极大缩短自动化完成所需的时间。如下图的案例所示,某位客户需要对30000个IP地址进行扫描。传统的自动化工具的处理方法是按顺序扫描每个IP地址,这对于小批量扫描来说不是什么问题,然而一旦遇到需要对大量IP地址进行快速验证的情况时就会显得过于缓慢,继而影响安全事件的处置效率。如果用户选择使用Parallele Loop功能,则无需一次扫描单个IP地址并等待结果,而是可以同时启动多个工作流程对不同的IP地址进行同时扫描,从而将大幅缩短任务的执行时间。除了提升安全事件的处置效率外,Parallel Loop的引入还有助加强Torq的可扩展性与灵活性,即通过并行循环增加的平台的工作负载,并允许用户根据特定需求自定义同时执行的任务数量。
ChatBot
具有交互功能的聊天机器人是团队协作软件(如Slack、Microsoft Teams等)中非常流行的工具。这些机器人是日常业务的好帮手,Torq则试图将它们引入IT领域,通过自助式服务体验来确保安全运营流程的流畅运行。如下图所示,在上面提到的使用Parallel Loop扫描IP地址的任务中,用户可以在扫描前添加一个名为“提问”的人工步骤,借助Slack Chatbot自动向安全人员推送问题,请求他们来确认是否需要对每个IP进行扫描。除了运行审批工作流外,用户还可以借助这些Chatbot来帮助自己完成收集数据、执行典型操作等工作。
将生成式AI引入SOAR
2023年8月,Torq发布了最新Torq Socrates,为平台引入了全新的ReAct LLM(Reason+Action LLM)的AI模型。现在Torq能够对组织现有的SOC手册进行自然语义的分析,来进一步地提升安全运营各环节的自动化程度了。具体而言,Scorates可以按照SOC手册中的指南自动对安全事件进行分类,然后从SOC手册中针对不同安全事件的推荐响应策略中推导出的操作流程。不仅如此,Scorates还可以按照给出的建议自动化地执行这些操作,并对操作结果进行解释,然后进一步判断如何根据SOC手册的规定进行后续的操作。除此之外,Scorates还能辅助安全事件的调查,自动在现有安全框架文档中查询并总结与特定事件相关的信息,并为安全事件打上合适的标签,或是对安全事件的处理进行总结并提出后续步骤的期望。Socrates的所有操作与产出都会以时间为序收录在案例库的在“案例时间表”中。下图分别展示了Scorates“根据SOC手册执行初始操作”,以及“利用外部知识库查询并反馈事件信息”所形成的时间线记录。
在传统的SOC组织架构中,一级的SOC分析师严格按照定义的操作手册进行工作。他们根据操作手册中的指令与他们可以使用的工具相匹配,分析消化不同工具的输出,以选择正确的后续行动方案,并根据知识储备为事件补充背景信息,最后记录所采取的所有行动以及结论背后的推理。从这个角度而言,Scorates就是将一级分析师的任务和活动进行了映射,然后利用LLM来提高处理这些一级操作的效率和准确性。在Socrates的帮助下,安全分析师仍然负责流程和结果,但由于90%的一级问题现在都可以得到自动化的处理,人们会有更多的时间和精力投入到那些具有全局战略影响和结果的工作上。
经营情况
自2022年初正式发布产品以来,Torq以令业界瞩目的速度增长。Torq宣称,在2022年全年收入增长了800%,客户增长了10倍,并达到了每日安全自动化超过1,000,000次的里程碑。Torq的客户已突破100家,还涵盖时尚消费、运动服饰、金融、酒旅等行业,如Agoda(酒旅)、HashiCorp(软件开发工具)、IronSource(创作内容变现)、Lemonade(网络保险)等,其中不仅包括财富100强公司,也包括中小型的创业公司。Torq用户的地理范围上则覆盖北美、欧洲和亚太地区,体现其产品广泛的吸引力。
为了进一步扩充销售网络,2023年6月Torq推出了名为Partner Acceleration Programme的全新合伙销售计划。这一计划分抛弃了传统“白银、黄金、铂金”的分级体系,转而按合作方的角色进行划分,分为经销商、售后和专业服务支持方、以及MSP/MSSP等全生命周期管理服务商。Torq的合作伙伴将联合销售Torq开发的自动化产品,同时获得确定的分润。其中,在合作程度最深的MSP/MSSP层级,合作伙伴可以确保拿到25%的利润,为业内的最高水平。除了通过生态系统进行产品的联合销售,Torq还会为合作伙伴提供技术援助和销售支持,以帮助他们更好地为终端客户提供支持。
目前,Torq的预估年收入为2100万美元,团队人员则在150人左右。
延伸:从Torq看安全运营自动化的发展趋势
为了能更好理解Torq、Tines等新一代安全运营自动化平台出现的背景,有必要简单回顾一下安全运营的历史沿革。自上世纪70年代中期被提出以来,安全运营的内涵随着互联网技术的不断发展与普及逐渐丰富,已经从单纯的防恶意代码,逐渐扩展到网络攻击的预防、检测、响应以及相关的监管、合规等活动。为了应对日益复杂的网络安全形势,安全运营人员不得不使用大量的工具来帮助自己更好地完成工作。Palo Alto Networks的调查显示,一个典型的SOC所采用的支持性工具数目超过了25个。其中,除了传统的防火墙、日志管理等工具,安全运营人员可能会用到的支持性技术与工具还包括SIEM、EDR、NDR、UEBA、DLP、CAASM、IAM等。如果从历史沿革的角度来看,这些技术和工具大致可以与安全运营发展的不同阶段相对应。
尽管这些技术和工具看起来琳琅满目,也都声称能够针对性地解决很多问题,但对于安全运营人员而言,他们在实际工作面临的最大问题从来不是缺少某个工具。更普遍的情况是,由于安全运营流程的执行往往会牵扯到大量需要日常重复、费时费力的工作,对于从业者而言,有时候按照流程来使用这些工具,本身可能就是一个负担。因此,这些工具本身的功能本身和它们在实际工作中的易用性,完全是两个问题。从结果来看,尽管有大量专业工具的协助,由于实操上存在的缺陷,也往往会导致现有的安全运营团队无法有效处理和应对遇到的威胁与攻击。为了解决这个问题,开发者不能一味地开发全新的产品,而是需要采取全新的安全运营思路,将这些现有的技术和工具更好地组织起来。以SOAR为代表的安全运营自动化产品就是在这个背景下诞生的。就像前文提到的,通过核心的编排与自动化技术,SOAR帮助安全运营实现了从“手动挡”到“手自一体”的飞跃。它将那些碎片化的技术和工具通过剧本编排的方式组织起来,然后进行自动化的执行,从而在提升安全流程的执行效率的同时,避免了人为操作失误带来的非标准化处置的情况,因此能够从根本上提升安全运营的可持续性和可度量性。下图详细展示了SOAR的组织逻辑。
不可否认,SOAR对安全运营流程自动化程度带来的提升是非常明显的,但人们很快发现,在实际应用的时候,它还是存在很多问题。首先,由于目前很多安全基础设施的API还不完善,因此用户无法有效地现有的功能封装起来形成应用并进行调用,这严重影响了后续的剧本编排和自动化执行;其次,剧本能顺利执行的一个重要前提是在梳理组织安全流程的基础上编写相应的剧本,由于缺乏长期的工作经验与案例积累,依靠事先编写剧本的方式所能够覆盖的威胁场景是比较有限的;另外,这些自动化平台本身不提供对系统、数据进行保护的功能,而且由于缺乏标准的规范,在特定平台上的编排也无法与在其他厂商的平台上进行解耦,导致各平台之间的互操作性非常弱。这些问题的存在,使得SOAR对安全运营质量和效率的提升并没有人们设想的那么明显。下图总结了SOAR为代表的安全运营自动化技术的核心价值与存在的问题。
近年来,以Torq、Tines为代表的新一代自动化厂商,就是想要解决传统SOAR技术的这些遗留问题。通过开创性地引入新技术,这些厂商开始尝试对安全运营自动化的产品及其使用场景做出改造。在产品形态方面,SOAR开始向所谓的SOAP(SOA Platform)演化,更强调产品的平台化属性,并通过与业内软硬件厂商的广泛合作来提升平台的延展性与灵活性。在应用场景层面,这些产品已经超越了传统的事件检测和响应工作,迈向了更广泛的安全运营领域,与安全态势感知、数字资产清点、外部攻击面管理等更多事前、乃至事后的安全运营工作结合起来,能够真正帮助用户一站式地管理和维护网络安全的各项工作。
如果我们换个角度,站到这些厂商的对面,就能对这些变化的动机有更深的理解。因为从企业用户的角度而言,这些改造就是为了帮助他们更轻松地开展安全运营的工作,除了单纯的效率提升外,还有很大一部分可能是易用性的问题。从产品的轻量化部署,售前、售中、售后全方位的技术支持,到低代码/无代码技术支持的可视化的操作界面,月度更新的内置剧本模板,再到直接引入可交互的AI助手,都是为了降低企业使用产品的门槛。对于广大中小客户而言,这样的产品是非常友好的,因为现在他们只需要两周的培训就能熟练掌握Torq的使用方式,并且Torq的平台能与组织现有的安全工具与业务流程无缝地链接在一起,这样即使在安全运营经验与能力上有所缺失的团队,也可以利用平台的内置模板来高效地完成对特定安全事件的处置,或是直接向Torq请求技术支持。在海外专业商用软件与服务测评论坛G2上,用户在对Torq产品的评价几乎都会提到有关“易用性”与“集成”的内容。
回到技术层面,大语言模型(LLM)与生成式AI(GenAI)等人工智能新技术的引入,一定是这些新一代自动化厂商区别于传统厂商的一个重要特征。以Torq Scorates为例,基于自然语义分析(NLP)与机器学习(ML),安全人员现在能使用自然语言与Scorates进行交互,完成对安全运营手册、安全实践案例等复杂信息的查询、访问,同时Scorates还能帮助安全人员对安全事件的处置进行总结并提出优化建议。从更宽泛的角度来说,LLM与GenAI对安全运营的影响远比产品创新更加深刻。安全运营团队不仅可以使用人工智能产品优化组织管理现有安全与风险的流程,更应该做好受到来自GenAI的新兴攻击的准备,如AI伪造的虚假身份。与此同时,这些人工智能应用程序也会为组织带来扩大的攻击面与新的潜在风险,必须对组织现有的应用程序安全实践进行调整,所有嵌入GenAI的应用程序都会带来独特的安全要求,而传统的安全管控是无法满足这些要求的。下图是Gartner关于生成式AI对于组织安全运营影响的分析总结。
应该承认,借助无代码/低代码与AI技术,以Torq、Tines为代表的新一代厂商已经将产品的易用性推向了极致,同时针对性地解决了SOAR的部分历史遗留问题,如通过提供API保护来加强对数据安全的管控、通过全方位技术支持与内置剧本模板来缓解企业安全运营团队经验与能力的缺失,但诸如应用封装受限、跨平台可操作性弱的问题仍旧存在,平台的集成化程度与开放性还有进一步提升的空间。与此同时,高度的自动化还带来一系列新的问题,如模块的过度使用限制了个性化的定制、自动响应的速度超出人类的理解范畴,所有这些问题都需要做进一步的探讨与解决。
最后,只借Torq一家公司来观察安全运营行业的趋势无异于管中窥豹。作为一个冉冉兴起的朝阳行业,安全运营在近年来出现了很多新的技术、新的趋势,自动化只是其中的一个方向。除此之外,还有更多的企业、在更多不同的细分领域做着创新的努力。借助Gartner最新推出的技术成熟度曲线,可以进一步感受这些与安全运营相关的各项技术目前所处的发展身位。此外,也希望能看到越来越多的国内厂商参与到这一进程中来,为推动行业的发展贡献自己的力量。
作者:宗晨曦
编辑:范云辰
参考资料
https://www.crunchbase.com/organization/stackpulse
Gartner,《4 Ways Generative AI Will Impact CISOs and Their Teams》
Gartner,《Hype Cycle for Security Operations, 2023》
Gartner,《Market Guide for Security Orchestration, Automation and Response Solutions》
绿盟科技,《RSA创新沙盒盘点|Torq——无代码安全自动化》
数世咨询,《深入研究SOAR的核心能力——安全编排与自动化》
Torq官网关于产品及技术的介绍,参见https://torq.io/
免责声明
*本公众号仅作为学习和研究使用,不构成对任何人的投资和建议,您直接或间接基于本公众号内容做出的投资应自行承担风险,航行资本及作者不对此承担任何责任。
*以上信息均为航行资本基于网络公开信息渠道整理,航行资本不为以上信息的真实性、准确性做任何保证。
*本公众号上所转载或引用内容均标注来源及出处,仅代表原作者本人,不代表航行资本立场。转载或引用内容的版权归原作者所有。如涉嫌侵权,请及时联系我们,我们将及时更正或删除有关内容。
*如需转载本深度调研,或对以往调研内容感兴趣,请联系:zhihouchen@voyagers-partners.com。
声明:本文来自航行资本,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
