一、案例背景

该基金公司成立于 1999 年 3 月， 是国内最早成立的十家基金管理公司之一，至今已拥有公募基金、机构投资、养老金业务、海外投资、财富管理等在内的 “全牌照” 业务，累计为超 1 亿大众投资者及超 7000 家各类机构客户提供专业、高效的理财服务，各类资产管理规模超过 1 万亿元人民币，位居行业前列。

IT 系统作为该基金公司的核心支撑系统，为前端业务团队的拓展及合规提供强有力的支撑，并且以 “主动管理” 和 “深度研究” 为两大核心支柱。

随着网络安全攻防对抗的日趋激烈，网络安全单纯指望基于人的防范和阻止的策略已经失效，必须更加注重自动化的检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。

安全编排、自动化和响应（Security Orchestration, Automation and Response，简称 SOAR）是信息安全领域近几年提出来的新概念，Gartner 预计越来越多的企业会进行 SOAR 平台建设。很多企业已经建立或正在建立完备的安全运营中心（SOC），以解决在 SOC 的运营过程中面临的一些关键问题。

SOAR 是一系列技术的合集，它能够帮助企业和组织收集安全运维团队监控到的各种信息（包括各种安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。

二、案例概述

SOAR 是一系列技术的合集，它能够帮助企业和组织收集安全运维团队监控到的各种信息（包括各种安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。

在该基金客户的环境中，原有多个安全工作流，需要安全部门的人员手工完成，耗费了大量的时间，并且难以满足及时性和准确性的要求。通过千乘安全编排与自动化系统（SOAR）的建设，实现了大多数流程的编排和自动化，在效率和响应速度方面都有显著提升，尤其是对于安全运营中的重复性任务、周期性任务，体现了巨大的自动化优势，快速建立了高效的安全运营体系，带来如下价值：

■ 消除安全体系中的资产孤岛，使之相互关联，发挥应有价值；

■ 完成安全运维中的重复性任务；

■ 灵活地提供并应用最佳实践；

■ 解决防御速度很慢，人力资源浪费，情报无法落地的问题；

■ 远程办公的情况下，依旧完成安全响应流程；

■ 信息安全事件可追溯；

■ 信息安全事件响应的经验、流程有效传递。

三、安全技术应用情况

使用千乘安全编排和自动化解决方案，安全团队可以将所有安全工具连接在一起以创建强大的流程，同时仍然允许在此过程中提供战略性的人工洞察力。通过编排和自动化，你可以更快速的并且更好地利用团队的专业知识进行分析和决策，而不是手动调查任务。这些运营收益有利于了解安全态势，甚至有助于解决安全人才缺口。

以客户部署的第一个 “钓鱼邮件调查” 的场景为例：

网络钓鱼仍然是成功突破网络防御的主要攻击手段。 使用千乘 SOAR 平台，将不再需要手动研究每个附件、URL 或对敏感信息的可疑请求。 自动化处理这些初始任务，安全工程师就可以专注于真正的恶意内容，并向员工宣传应对网络钓鱼的最佳做法。 识别出网络钓鱼电子邮件后，还可以立即采取补救措施。

扫描附件和 URL：通过使用安全浏览、沙盒等插件，可以遏制和调查可疑的附件并检查可疑的 URL。

识别威胁的工作流：通过工作流使用多个情报源来分析电子邮件 URL 和附件。 添加步骤以输出详细说明所识别的每个指标的报告。

指定决策点：在进行常规扫描和调查之后，配置工作流程以触发最佳处理方法的决策点。 标记确定的网络钓鱼邮件，并自动发布一条消息，通过微信、钉钉、工单系统或其他措施提醒组织中的其他人注意网络钓鱼威胁。

四、客户反馈效果

通过部署千乘安全编排及响应解决方案，帮助该基金公司安全运营人员建立行之有效的安全工作流运营体系，实现现有安全流程的标准化、自动化。

构建并完善了多种安全实践工作流，包括但是不限于：SIEM 平台安全告警自动处理、垃圾邮件溯源、勒索病毒快速响应、安全策略自动变更、恶意 IP 地址溯源、安全运维流程自动化等。

整体提高了安全运营能力，让运营团队将最主要的精力集中在重要的工作中，自动化的完成常规和既定的安全运营任务；同时，通过工作流的灵活编排，缩短网络攻击事件分析处置的时间，提升事件分析能力。