随着网络安全攻防对抗的日趋激烈,网络安全单纯进行防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。
在这样的背景下,放眼国内,更多的注意力集中到了新型检测产品,尤其是未知威胁检测领域。借助这些产品和技术,用户获得了更低的 MTTD(平均检测时间),能够更快更准确地检测出攻击和入侵。但是,这些产品和技术大都没有帮助用户降低 MTTR(平均响应时间)。事实上,对于用户而言,更快地检测出问题仅仅是第一步,如何快速地对问题进行响应更加重要,而这,正是 SOAR 要解决的问题。
SOAR 的 “庐山真面目” 是什么?
SOAR 意为安全编排自动化与响应,是 Security Orchestration Automation and Response 的缩写,从 2015 年 Gartner 首次提出 SOAR 概念,再到 2017 年 Gartner 对其进行全新的概念升级,目前认知的 SOAR 可汇聚多源安全数据,通过剧本编排的手段自动化执行多种安全响应流程,从而大大降低安全事件 MTTR(平均响应时间)。
SOAR 的应用现状如何?
智能技术的发展促使安全运营逐渐从劳动密集型行业转向技术密集型行业,安全技术的防护内容和防护手段都在不断更新精进,目前网络安全工作的难点已经不再是检测,而是安全运营。经过几年的发展,SOAR 的概念及产品已经趋于成熟,2021 年 SOAR 市场将逐渐打开,Gartner2019 年的市场调研报告显示,到 2022 年底 30% 的 5 人以上安全团队都将考虑采用 SOAR 解决方案。
SOAR 还需要在那些方面改进?
安恒信息 AiLPHA 出品的 NEXT SOAR 不仅具备 SOAR 的三大核心技术能力:安全编排与自动化、安全事件响应平台、威胁情报平台,还前瞻性联动安全运营中最重要的元素 “人员”。这使得,NEXT SOAR 让日常安全运营变得更加方便、快捷。NEXT SOAR 工具中的 “War Room” 功能实现高效、灵活的人员管理,多地、多中心人员协同作战。团队成员通过 War Room 功能实现在线沟通,协作下发安全响应指令,无需来回切换界面即可实现安全事件全周期响应,解决人员之间因为沟通不畅导致的响应不及时等问题。
除此之外,安恒信息 NEXT SOAR 还以安全能力中台(DBAPPSecurity Capability API,简称 DASCA)为底座。面对众多繁杂的安全设备,DASCA 将企业能力统一抽象成标准化能力,以多种安全能力为基础构建安全能力中台,帮助企业构建系统化安全能力。DASCA 也可为 NEXT SOAR 的自动化提供动力源,标准化程度越高,自动化执行能力就越强,有了安全能力中台的支持,NEXT SOAR 可以走的更远。
SOAR 在红蓝对抗中能做什么?
每年的网络安全应急攻防演练活动都备受关注,在传统的安全运营场景中,流程繁琐、处置周期较长,通常为几天甚至更久。安全防守方会面临各种突发性问题,譬如人员不能及时到位、账号过期、密码遗忘、产品操作不熟练,导致安全团队在应急事件响应的过程中很难对事件进行预期的响应处置。
以防火墙封禁为例,客户需要进行快速的攻击研判阻断,现场 DMZ 区部署了防火墙;客户希望能够针对外部的扫描探测类攻击,一分钟超过 10 次就自动进行防火墙封堵,并邮件通知客户负责人,对于自动化执行的任务可以分析查看,便于活动结束后的复盘总结。
上述动作通过剧本方式可以在秒级内完成,完全不依赖人工操作,提高响应速度,实现 7x24 小时应急响应。
安恒信息 NEXT SOAR 通过智能灵活编排,把人、过程和技术整合起来,大幅提升安全运营工作效率,将分析人员从耗时且繁冗的分析工作中解放出来。NEXT SOAR 支持拖拽式交互设计、安全风险分析研判策略配置和联动响应剧本、多种策略编排动作,流程化完成事件管理,提高协作沟通效率。将响应时间从小时甚至天降到秒级别。
目前,众多行业已逐渐将目光转向安全运营,如何大幅提升安全运营效率已经成为当前时代重要的课题。安全运营新时代已到来,安恒信息 NEXT SOAR 聚力 SOAR 大生态,全力护航网络安全运营。