股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
安(ān)全运营能(néng)力再进化,有(yǒu)效SOAR产(chǎn)品是关键
发布时间 :2021年05月20日
类型 :勒索软件
分(fēn)享:
為(wèi)了帮助企业的高效检测和响应安(ān)全威胁,降低平均响应时间(MTTR),SOAR(Security Orchestration, Automation and Response,安(ān)全编排自动化与响应)的概念应运而生,并迅速成為(wèi)各大企业推进安(ān)全运营能(néng)力进化的优先方向之一。那么,SOAR 到底有(yǒu)什么魅力,企业又(yòu)如何来选择高效的SOAR解决方案呢(ne)?
SOAR初探:為(wèi)安(ān)全响应服務(wù)的解决方案组合
SOAR是Gartner 2017年提出的新(xīn)概念,用(yòng)以描述脱胎于事件响应、安(ān)全自动化、案例管理(lǐ)和其他(tā)安(ān)全工(gōng)具(jù)的一系列新(xīn)兴平台。在随后的几年中(zhōng),SOAR 的概念内涵有(yǒu)了多(duō)次的演进。2019年,Gartner不再只关注响应,而强调各种流程(workflow);2020年,Gartner对于SOAR的定义进行了进一步的修订:SOAR平台是一类為(wèi)安(ān)全运营人员在其团队中(zhōng)执行某些任務(wù)的过程中(zhōng)提供机器协助的解决方案,强调SOAR是一种為(wèi)人提供机器协助的解决方案。
从2020年开始,各大网络安(ān)全服務(wù)提供商(shāng)陆续发布独立的SOAR产(chǎn)品,并将其定位為(wèi)自动化运维平台,SOAR逐步从概念落地到实践。其中(zhōng)的一个显著特征是,这些SOAR产(chǎn)品往往以独立产(chǎn)品的身份而出现,更多(duō)的强调了其对于现有(yǒu)安(ān)全运营體(tǐ)系的颠覆,而非集成与发展。
亚信安(ān)全结合 Gartner 的概念与安(ān)全运营实践,提出了自己对于SOAR的理(lǐ)解:SOAR是為(wèi)响应服務(wù)的,是為(wèi)人提供协助的,是一种解决方案,是一种实现人与组织、流程、技(jì )术及工(gōng)具(jù)的整合。只要能(néng)通过解决当前安(ān)全运行中(zhōng)痛点:人少事多(duō)、告警疲劳、响应太慢、知识流失、缺乏协作(zuò)等问题,都可(kě)以认為(wèi)是一种SOAR解决方案,而并不一定强调是独立的SOAR产(chǎn)品。
在亚信安(ān)全看来,SOAR是安(ān)全运营理(lǐ)念与技(jì )术创新(xīn)的自然发展路線(xiàn),通过构建SOAR體(tǐ)系,企业将构筑“准备-发现-分(fēn)析-遏制-消除-恢复-优化”的安(ān)全运营流程,全面打造精(jīng)密编排的网络空间恢复补救能(néng)力。
如何选择部署SOAR解决方案的最佳路線(xiàn)
从金融、运营商(shāng)、政府等行业客户的实践来看关基行业,SOAR的应用(yòng)场景可(kě)以分(fēn)為(wèi)两大类:
安(ān)全处置自动化
当处理(lǐ)一次常规的事件响应涉及5-10个以上系统或程序,处理(lǐ)过程涉及大量的上下文(wén)切换,如何快速地针对这些威胁进行响应处置,降低MTTR的重要性就更加凸显,通过对安(ān)全事件结果的预判、事件过程、外部情报、应对决策等信息数字化,实现自动化策略编排、安(ān)全事件处置,联动防护设备实现攻击防护的自动化。通过SOAR解决方案可(kě)实现多(duō)种安(ān)全设备及系统的全面联动,例如:防火墙、防毒墙、抗D、IPS、终端防病毒、日志(zhì)审计、蜜罐、APT沙箱、EDR、邮件网关等。
其典型场景包括:高级威胁分(fēn)析、恶意流量处置、可(kě)疑文(wén)件分(fēn)析、恶意软件感染、漏洞管理(lǐ)、恶意邮件处置等。使用(yòng)“安(ān)全作(zuò)战室”、统一管理(lǐ)调度,解决人人、人机协同问题,用(yòng)“安(ān)全剧本”将应急响应中(zhōng)的各个单点动作(zuò)串联起来,实现流程自动化,解决安(ān)全事件响应严重依赖人工(gōng)操作(zuò)的问题。
安(ān)全运维自动化
在日常安(ān)全运维中(zhōng),同样存在大量重复而繁杂的处理(lǐ)过程,每一个阶段都可(kě)以结合AI智能(néng)运维的方法替换低级手动任務(wù),在缩短运维周期的同时避免误差。通过SOAR解决方案可(kě)实现业務(wù)系统的数据连接与业務(wù)打通,例如:CMDB系统、基線(xiàn)合规系统、故障处理(lǐ)系统、业務(wù)审计系统等。从服務(wù)触发、监控添加、故障发现、到止损决策、止损操作(zuò)、根因诊断、恢复操作(zuò),直至报告自动生成或结果归档。
其典型场景包括:资产(chǎn)自动化管理(lǐ)场景、资产(chǎn)合规性检测、故障处理(lǐ)运维、定期巡检运维、自动化数据备份等。
亚信安(ān)全提供灵活的SOAR解决方案
亚信安(ān)全SOAR解决方案通过安(ān)全事件预案的自动执行,将不同环节、不同设备、不同人员间进行联动,实现了人机一體(tǐ)化,充分(fēn)发挥智能(néng)化安(ān)全技(jì )术优势,将程序中(zhōng)繁杂简单的工(gōng)作(zuò)转移到机器上,极大提高了安(ān)全运营平台的响应处置能(néng)力,提高处理(lǐ)效率的同时也将安(ān)全管理(lǐ)人员解放出来集中(zhōng)于更有(yǒu)价值的活动中(zhōng)。目前,该平台已在中(zhōng)國(guó)建设银行等客户系统中(zhōng)上線(xiàn)运行,实现CDN封禁、恶意代码执行、恶意邮件等威胁安(ān)全处置效率数倍提升,极大提高了建设银行安(ān)全运营平台的响应处置能(néng)力,获得客户的高度认可(kě)。
SOAR致力于自动化安(ān)全快速精(jīng)准响应,帮助客户解决实战化安(ān)全运营工(gōng)作(zuò)的最后一公(gōng)里落地问题,形成防护、检测、响应的完整闭环。
分(fēn)享到微信
X