近日,《企业安全运营自动化(SOAR)应用指南》报告(以下简称 “报告”)正式发布。该报告旨在共同探讨安全运营自动化的能力建设与落地应用,发现我国网络安全行业中真正有能力、可落地、引领创新的新一代 SOAR 技术解决方案。天融信 SOAR 方案以优异的自动化安全运营能力、智能化模型编排能力入编代表性安全厂商方案。
随着信息化建设的不断深入,各企业和组织已围绕业务建设了大量的网络设备、安全设备、终端、服务器、业务系统等 IT 资源,从这些 IT 资源产生的大量安全数据挖掘潜藏攻击威胁并进行自动化响应是安全运营中非常重要的工作。SOAR(安全编排自动化与响应)技术因其在安全自动化响应方面独具优势,能够帮助企业解决安全事件响应过程中人员短缺、改进警报分类质量和速度等问题,受到更多企业用户的关注。
自动编排 安全运营
惠红刚
天融信科技集团产品总监
在发布会,惠红刚分享天融信 SOAR 方案时表示,从实战角度出发,SOAR 技术有三个核心定位,一是将安全人员的研判分析和处置经验总结固化并重用;二是将安全告警研判分析和处置过程中的人员操作尽可能自动化;三是 SOAR 技术通常用于加强产品自动化响应处置能力。在 APT 发现阻止流程日常化、实战演练响应效率高效化、告警误报漏报应对改善化等典型应用场景中,SOAR 技术的应用为安全运营能力带来巨大提升。
以适应实战应用需求为目标,天融信围绕安全编排与自动化技术展开设计,SOAR 作为核心技术手段,对终端安全、漏洞扫描、威胁情报等安全资源进行统一整合与管控,打破安全资源之间的孤岛格局。通过将多方安全能力串联,形成具备编排灵活可视化、联动对象全面可扩展、内置经验剧本实战化、剧本启动场景多样化等优势的一套针对安全运营过程自动化响应的解决方案。
基于 SOAR 的安全运营实践
在 SOAR 技术落地实践方面,天融信为某能源集团建设了基于数据中台的安全运营系统,利用数据中台实现安全数据采集、威胁行为分析发现,通过 SOAR 技术进行安全策略自动化编排,联动 EDR、WAF 等安全设备进行告警研判及快速响应,实现降低业务风险以及 OPEX(运维管理成本)的管理目标,为客户带来安全运营工作的整体能力提升。
01
流程优化释放劳动力
通过流程化的方式将解决方案自动生成事件进行调查,应用 SOAR 技术进行智能分析,将事件中重复的、常规的部分交给机器完成,使分析师集中更多的时间投入到调查和响应事件,而非将时间消耗在执行调查所需的数据收集上。
02
自动化加强人机融合
将人工智能技术引入自动化编排之中,通过人机结合,使人员、流程、技术无缝融合在一起。这一过程不单单是对剧本流程的整合,也实现了对安全技术和安全人员的整合,大大缩短了响应时间,增强企业网络攻防实战能力。
03
智能化满足合规要求
通过丰富的模型编排、场景设置对安全事件做出高效的发掘和应对。智能化的模型编排、算法优化使数据保护符合多场景的应用,大大提升入侵检测处置的能力,满足法律法规要求。
天融信 SOAR 技术可和大数据分析平台等产品组合使用,丰富 SOAR 系统能力,实现自动化分析处置、实时策略下发、联动设备响应、实现数据交互与业务同步,增强决策能力。结合天融信在大数据分析方面的技术积累与优势,SOAR 技术的应用解决了失陷终端的研判与处置、复杂威胁的交互式实时调查、威胁事件的快速响应与决策、异常行为的告警和审核等典型安全运营问题,进一步推动自动化安全运营能力的落地。
根据 Gartner 预测,到 2022 年,有 30% 大型企业组织 (安全团队超过 5 人) 将在安全运营工作中使用 SOAR。大型企业在安全编排与自动化响应方面均有明显的需求,SOAR 解决方案对改进企业安全运营起到了积极的推动作用,已经逐步从观望期转为试水期。未来,SOAR 技术的应用会将人员、设备、资源、流程有效协同整合,进一步提高安全响应效率,提升企业的自动化安全运营能力。