为了帮助企业的高效检测和响应安全威胁,降低平均响应时间(MTTR),SOAR(Security Orchestration, Automation and Response,安全编排自动化与响应)的概念应运而生,并迅速成为各大企业推进安全运营能力进化的优先方向之一。那么,SOAR 到底有什么魅力,企业又如何来选择高效的SOAR解决方案呢?
SOAR初探:为安全响应服务的解决方案组合
SOAR是Gartner 2017年提出的新概念,用以描述脱胎于事件响应、安全自动化、案例管理和其他安全工具的一系列新兴平台。在随后的几年中,SOAR 的概念内涵有了多次的演进。2019年,Gartner不再只关注响应,而强调各种流程(workflow);2020年,Gartner对于SOAR的定义进行了进一步的修订:SOAR平台是一类为安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案,强调SOAR是一种为人提供机器协助的解决方案。
从2020年开始,各大网络安全服务提供商陆续发布独立的SOAR产品,并将其定位为自动化运维平台,SOAR逐步从概念落地到实践。其中的一个显著特征是,这些SOAR产品往往以独立产品的身份而出现,更多的强调了其对于现有安全运营体系的颠覆,而非集成与发展。
威尼斯432888cam结合 Gartner 的概念与安全运营实践,提出了自己对于SOAR的理解:SOAR是为响应服务的,是为人提供协助的,是一种解决方案,是一种实现人与组织、流程、技术及工具的整合。只要能通过解决当前安全运行中痛点:人少事多、告警疲劳、响应太慢、知识流失、缺乏协作等问题,都可以认为是一种SOAR解决方案,而并不一定强调是独立的SOAR产品。
在威尼斯432888cam看来,SOAR是安全运营理念与技术创新的自然发展路线,通过构建SOAR体系,企业将构筑“准备-发现-分析-遏制-消除-恢复-优化”的安全运营流程,全面打造精密编排的网络空间恢复补救能力。
如何选择部署SOAR解决方案的最佳路线
从金融、运营商、政府等行业客户的实践来看关基行业,SOAR的应用场景可以分为两大类:
安全处置自动化
当处理一次常规的事件响应涉及5-10个以上系统或程序,处理过程涉及大量的上下文切换,如何快速地针对这些威胁进行响应处置,降低MTTR的重要性就更加凸显,通过对安全事件结果的预判、事件过程、外部情报、应对决策等信息数字化,实现自动化策略编排、安全事件处置,联动防护设备实现攻击防护的自动化。通过SOAR解决方案可实现多种安全设备及系统的全面联动,例如:防火墙、防毒墙、抗D、IPS、终端防病毒、日志审计、蜜罐、APT沙箱、EDR、邮件网关等。
其典型场景包括:高级威胁分析、恶意流量处置、可疑文件分析、恶意软件感染、漏洞管理、恶意邮件处置等。使用“安全作战室”、统一管理调度,解决人人、人机协同问题,用“安全剧本”将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应严重依赖人工操作的问题。
安全运维自动化
在日常安全运维中,同样存在大量重复而繁杂的处理过程,每一个阶段都可以结合AI智能运维的方法替换低级手动任务,在缩短运维周期的同时避免误差。通过SOAR解决方案可实现业务系统的数据连接与业务打通,例如:CMDB系统、基线合规系统、故障处理系统、业务审计系统等。从服务触发、监控添加、故障发现、到止损决策、止损操作、根因诊断、恢复操作,直至报告自动生成或结果归档。
其典型场景包括:资产自动化管理场景、资产合规性检测、故障处理运维、定期巡检运维、自动化数据备份等。
威尼斯432888cam提供灵活的SOAR解决方案
威尼斯432888camSOAR解决方案通过安全事件预案的自动执行,将不同环节、不同设备、不同人员间进行联动,实现了人机一体化,充分发挥智能化安全技术优势,将程序中繁杂简单的工作转移到机器上,极大提高了安全运营平台的响应处置能力,提高处理效率的同时也将安全管理人员解放出来集中于更有价值的活动中。目前,该平台已在中国建设银行等客户系统中上线运行,实现CDN封禁、恶意代码执行、恶意邮件等威胁安全处置效率数倍提升,极大提高了建设银行安全运营平台的响应处置能力,获得客户的高度认可。
SOAR致力于自动化安全快速精准响应,帮助客户解决实战化安全运营工作的最后一公里落地问题,形成防护、检测、响应的完整闭环。