背景介绍
在雾帜智能公众号的最新技术文章中,介绍了雾帜与安天科技的战略合作。其中提到了安天 XDR 和雾帜 SOAR 的结合方式,即"SOAR APP as a Service"和"SOAR Playbook as a Service"。这种方式将安天现有的丰富基础安全能力变成雾帜的通用 APP 应用,通过雾帜的 SOAR 平台编排界面调用这些能力,实现双向打通。也就是说,XDR 可以调用 SOAR 产品,SOAR 也可以调用 XDR 的基础安全能力,实现更开放的产品生态。
这一期,我们将推出雾帜 SOAR+ 安天 IOC 的解决方案,探讨两者结合将如何帮助企业更智能、协调响应安全威胁,并且帮助企业提高威胁情报响应能力。
(IOC:最常见的技术情报类型之一。IOC 可以帮助我们在系统或网络日志中寻找某类特征数据来发现已被入侵的目标,这类特征数据包括 IP 地址、域名、文件哈希值以及其他可以表明入侵的基于网络或主机的特征。)
典型困难
1、情报来源单一,事件分析可能有失偏颇 单一的威胁情报来源可能不完整、不准确,甚至遗漏重要情报。不利于组织做出准确的决策。
2、溯源手段缺失,无法精准定位风险 威胁情报缺失,可能无法预判、识别和评估可能的安全威胁,对攻击来源信息缺失,制定的预防措施可能失当,无法根本性阻断风险。
3、人工处置效率低 传统的事件处置流程,威胁事件的发现与处置都需要人工干预,人工干预的处置流程效率较低,不能很好地处理大量的威胁数据,导致应急响应速度缓慢,降低了整体的效率。
4、缺乏一致性、风险评估不准确 面对安全事件的处置流程,每个安全人员可能采用不同的处置方式,严重受限于安全人员个人操作的不确定性。对于事件处置缺乏统一标准和一致性,导致降低了对威胁预警处置和防范动作的可控性。
“## SOAR+IOC 解决方案
雾帜智能 HoneyGuide,通过虚拟作战室、AI 机器人和可视化剧本编排,帮助安全团队加速威胁响应和处置,提升运营自动化,实现安全风险自治理。
方案 1:使用多源威胁情报云
使用 SAAS 化部署的多源威胁情报云具有以下优势:
⭐快速部署、灵活性高:通过在云端部署,可以迅速启动威胁情报服务,无需进行任何实体设备的部署和维护。
⭐成本效益、数据安全:使用 SAAS 化部署的多源威胁情报云可以节省企业的设备投入和人力成本;云端服务商通常提供严格的数据安全措施,以确保客户数据的安全性。
⭐可扩展性、自动更新:云端部署的多源威胁情报云具有很强的可扩展性,可以根据客户的需求增加或减少服务的规模;云端服务商负责系统的维护和更新,客户可以始终使用最新版本。
注:使用 SAAS 化部署的多源威胁情报云可以提供更加灵活、高效和成本效益的威胁情报服务。
方案 2:本地部署多源威胁情报系统
使用本地化部署的威胁情报系统具有以下优势:
⭐数据隐私和安全:本地化部署的威胁情报系统不会将敏感数据上传到云端,可以最大限度地保护数据隐私和安全。 ⭐更强的控制和定制化:使用本地部署的威胁情报系统,可以更好地控制和定制系统,以适应特定的业务需求。 ⭐更稳定的系统性能:通过将数据和资源存储在本地,可以减少网络延迟和数据传输造成的影响,从而提高系统性能。
注:使用本地化部署的威胁情报系统适用于对数据隐私和安全有严格要求,需要更强控制和定制化的行业,如金融、政府和国防等。
方案成效
提升安全威胁分析和溯源能力:结合多源威胁情报可以帮助组织在威胁发生前就发现和预警,有效降低威胁对业务的影响。
提升威胁情报的准确性:通过结合多源威胁情报,可以更快准确地发现威胁并采取相应的防范措施。
提高安全威胁响应效率:SOAR 系统能够自动化威胁响应流程,提高了响应的效率和准确性。
降低运营成本:通过自动化威胁响应流程,公司可以大大降低运营成本,同时节约人力资源。
总结
将 SOAR 技术与 IOC 威胁情报结合,能够显著提升企业的威胁情报响应能力。雾帜智能的 SOAR 产品以其自动化和协同能力,能够快速响应和自动化处置安全事件。而安天科技的 IOC 多源威胁情报系统则提供了更全面的威胁情报视角,帮助企业更好地应对复杂的网络安全威胁,提升安全威胁分析和溯源能力,准确评估威胁严重性。
这种结合的解决方案对于企业来说具有重要意义,它能够提升企业整体的安全防御能力,有效保护关键信息资产免受网络安全威胁的侵害。通过智能化、协助化的响应机制,企业能够更有效地应对日益复杂的安全威胁,提高安全事件的处置效率,并降低人力成本。