SOAR技术文章 《转载》碳泽 SOAR 安全运营编排自动化响应平台软件

Mr_QiuJun · 2022年04月06日 · 1127 次阅读

一、案例背景

该基金公司成立于 1999 年 3 月, 是国内最早成立的十家基金管理公司之一,至今已拥有公募基金、机构投资、养老金业务、海外投资、财富管理等在内的 “全牌照” 业务,累计为超 1 亿大众投资者及超 7000 家各类机构客户提供专业、高效的理财服务,各类资产管理规模超过 1 万亿元人民币,位居行业前列。

IT 系统作为该基金公司的核心支撑系统,为前端业务团队的拓展及合规提供强有力的支撑,并且以 “主动管理” 和 “深度研究” 为两大核心支柱。

随着网络安全攻防对抗的日趋激烈,网络安全单纯指望基于人的防范和阻止的策略已经失效,必须更加注重自动化的检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。

安全编排、自动化和响应(Security Orchestration, Automation and Response,简称 SOAR)是信息安全领域近几年提出来的新概念,Gartner 预计越来越多的企业会进行 SOAR 平台建设。很多企业已经建立或正在建立完备的安全运营中心(SOC),以解决在 SOC 的运营过程中面临的一些关键问题。

SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。

二、案例概述

SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。

在该基金客户的环境中,原有多个安全工作流,需要安全部门的人员手工完成,耗费了大量的时间,并且难以满足及时性和准确性的要求。通过千乘安全编排与自动化系统(SOAR)的建设,实现了大多数流程的编排和自动化,在效率和响应速度方面都有显著提升,尤其是对于安全运营中的重复性任务、周期性任务,体现了巨大的自动化优势,快速建立了高效的安全运营体系,带来如下价值:

■ 消除安全体系中的资产孤岛,使之相互关联,发挥应有价值;

■ 完成安全运维中的重复性任务;

■ 灵活地提供并应用最佳实践;

■ 解决防御速度很慢,人力资源浪费,情报无法落地的问题;

■ 远程办公的情况下,依旧完成安全响应流程;

■ 信息安全事件可追溯;

■ 信息安全事件响应的经验、流程有效传递。

三、安全技术应用情况

使用千乘安全编排和自动化解决方案,安全团队可以将所有安全工具连接在一起以创建强大的流程,同时仍然允许在此过程中提供战略性的人工洞察力。通过编排和自动化,你可以更快速的并且更好地利用团队的专业知识进行分析和决策,而不是手动调查任务。这些运营收益有利于了解安全态势,甚至有助于解决安全人才缺口。

以客户部署的第一个 “钓鱼邮件调查” 的场景为例:

网络钓鱼仍然是成功突破网络防御的主要攻击手段。 使用千乘 SOAR 平台,将不再需要手动研究每个附件、URL 或对敏感信息的可疑请求。 自动化处理这些初始任务,安全工程师就可以专注于真正的恶意内容,并向员工宣传应对网络钓鱼的最佳做法。 识别出网络钓鱼电子邮件后,还可以立即采取补救措施。

扫描附件和 URL:通过使用安全浏览、沙盒等插件,可以遏制和调查可疑的附件并检查可疑的 URL。

识别威胁的工作流:通过工作流使用多个情报源来分析电子邮件 URL 和附件。 添加步骤以输出详细说明所识别的每个指标的报告。

指定决策点:在进行常规扫描和调查之后,配置工作流程以触发最佳处理方法的决策点。 标记确定的网络钓鱼邮件,并自动发布一条消息,通过微信、钉钉、工单系统或其他措施提醒组织中的其他人注意网络钓鱼威胁。

四、客户反馈效果

通过部署千乘安全编排及响应解决方案,帮助该基金公司安全运营人员建立行之有效的安全工作流运营体系,实现现有安全流程的标准化、自动化。

构建并完善了多种安全实践工作流,包括但是不限于:SIEM 平台安全告警自动处理、垃圾邮件溯源、勒索病毒快速响应、安全策略自动变更、恶意 IP 地址溯源、安全运维流程自动化等。

整体提高了安全运营能力,让运营团队将最主要的精力集中在重要的工作中,自动化的完成常规和既定的安全运营任务;同时,通过工作流的灵活编排,缩短网络攻击事件分析处置的时间,提升事件分析能力。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册