SOAR资讯 从《网络安全技术 网络安全运维实施指南》看自动化处置工具的意义

wuzhi0410 · 2024年09月10日 · 174 次阅读

4 月 15 日,全国网络安全标准化技术委员会发出通知,国家标准制定项目《网络安全技术 网络安全运维实施指南》正式面向社会发布征求意见稿。(以下简称《指南》)

《指南》提出了网络安全运维参考框架;给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容。

指南给出了网络安全运维效果评估模型与效果度量指标,其中 “团队、流程和工具” 是评估网络安全运维等级效果的关键因素。

安全运维是建设我国网络安全能力的关键环节,因此需要站在标准的维度规范安全运维的框架流程和指标,并帮助企业在安全运维过程中节省人员成本的大量消耗,最终形成一个可以让网络安全水平螺旋提升的工作闭环。

所以,《指南》的发布,主要意义在于:

1、让网络安全运维一定程度上 “有法可依”;

2、给网络安全运维各个环节的实施内容提供指导;给等级效果评估提供参考;

3、给团队、工具和流程的统筹协调提供思路;帮助网络安全运维逐步建立内生安全循环机制,人员和防护能力不断提升。

值得注意的是,《指南》详细阐述了三类主要的 “网络安全运维模式”,并在《编制说明》里对国内外的同类标准技术内容和运维模式对比进行了思考和总结。

运维模式的分类与融合

在《指南》的 5.2 部分,详细列举了三类主要的网络安全运维模式,分别是: 1、全自建网络安全运维模式; 2、联合网络安全运维模式; 3、全托管网络安全运维模式。

**《编制说明》中表示,当前国外网络安全运维大多采用建立统一网络安全运维中心的方式,并不断借助大数据、AI 和机器学习、安全编排自动化与响应(SOAR)等新技术,以降低威胁分析及响应周期及提升运维效率;安全托管服务商借助 MSS 等,提供全天候安全监控、威胁分析、预警情报、应急响应等服务。**

与之相似,国内一些信息化水平较高的机构,也已经开始在信息系统建设中选择对网络安全体系进行整体规划,同步建设信息安全运营体系,并逐步开展多种安全运营理念的研究和实践。

随着新技术的不断应用,现阶段信息安全运营的实现载体已呈现为平台类的产品,比如 SIEM、SOC 等;同时,不断融入 SOAR、UEBA 等,以期实现平台和产品功能的不断升级。

从《指南》给出的 “网络安全运维效果等级” 来看,安全运维的持续改进就是需要形成内生的安全循环机制,可以动态演化;防护能力和人员能力不断提升。

因此,目前的安全运营已经不是一个封闭、静止的体系,而是一种基于外部环境变化,不断增强运营人员技能、平台技术能力,优化运营流程的机制。

显然,这个过程中平台和工具扮演着重要的角色。评估体系中对于工具的要求更是要 “将团队、流程、工具有机结合,以实现自动化、数据化、智能化的业务流转、业务监控和业务考核,快速提升和持续改进安全能力”。

结合《指南》与《编制说明》,不难发现良性的网络安全运维已趋于多种模式的融合,多个小节当中也都反复强调了需要强化网络安全运维各个环节之间的协同、联动与结合。

因此,我们可以得出网络安全运维的几点趋势:

1、强化团队、工具和流程的统筹协调程度;

2、提升平台和工具的自动化、智能化水平;

3、加强整体的互联互通、协同联动,提升智能化、自动化的协同防护能力。

平台和工具的协同联动

去年 7 月,《信息安全技术 网络安全产品互联互通框架》征求意见稿发布(以下简称《框架》),并且在近日又先后发布了《资产信息格式》以及《告警信息格式》。其背景在于 “提升我国网络安全产品互联互通水平,进而建设智能化、自动化的协同防护能力”。

《框架》附录 A 里概括了网络安全产品互联互通的两类典型应用场景,分别是安全管理系统(SIEM、SORA、SOC 等)与网络安全产品互联互通,以及不同安全产品之间的互联网互通。

其中,各类安全管理系统正是网络安全运维的重要组成部分。换句话说,互联互通的一个典型应用场景就是网络安全运维。

因此,网络安全产品互联互通水平的提升可以强化网络安全运维的能力和效果;而运维能力的提升,则最终可以为建设智能化、自动化的协同防护能力发挥作用。

结合前面总结的趋势,以及《框架》中的相关描述,可以理解目前网络安全运维水平的提升,一定程度上需要智能化、自动化工具的支持,并且需要强化网络安全产品之间的互联互通。

那么,什么样的条件才属于自动化工具呢?

回到《指南》,“A.4.5 自动化处置工具” 中写道:

1、需支持将分散的工具、人员和流程有机地整合到一起,整合安全运维所需的各种资源,实现人与工具、工具与工具的连接与协作;

2、需能够将安全操作流程或其片段转变成编排化的安全剧本,并尽可能自动化地执行,大幅降低安全运维人员的工作负担,提升工作效率;

3、需能够便捷地对告警信息进行调查与增强,根据实战情况动态调整和组合剧本,更快速地进行告警分诊,提升单位时间内处理告警的数量和质量;

4、需能够通过编排与自动化快速进行响应处置,实现安全运维效果的自动化、数字化度量,降低平均响应时长,提升运维水平;

5、需能够自动记录所有对抗过程的操作记录,便于事后总结归纳,将有经验的安全运维人员的知识进行固化、沉淀、分享,并不断优化。

《指南》发布的其中两个重要目标就是帮助企业节省人员成本,并形成网络安全水平螺旋提升的工作闭环。

而利用自动化处置工具,可以将分散的资源整合到一起,实现人 - 人、人 - 机、机 - 机的连接与协作;通过编排化的剧本,可以大幅降低人员负担,提升效率;最终通过知识的固化、沉淀,不断优化,实现安全运维能力提升。

这个过程中,无论是《指南》还是《框架》,都多次反复提到了安全编排自动化与响应(SOAR)的作用。

SOAR 安全运维中的应用和作用

SOAR 的核心是安全编排和自动化,将人、流程、技术和工具进行整合,辅助安全运营人员日常工作,提升安全运营效率。

从人员成本节省的角度来说,通过编排和执行安全剧本的方式,SOAR 可以覆盖企业的主要业务场景和安全场景,并将安全事件拆分成一个个简单的环节。企业只需要围绕预先编排的剧本,按照步骤依次调用需要的安全能力即可。有效解决人 - 人、人 - 机、机 - 机协同过程中存在的问题,不仅让安全运营变得简单,在响应和处置方面也更加迅速、精准。

这样一来,便完成了原来需要多人、多系统、多界面在线协同才能处置的安全任务。大幅节约了响应时间,降低了人员依赖,提升了工作效率,保障了应急处置质量,整体提高了安全团队 MTTR(平均响应时间)水平。

从能力的沉淀和提升角度来说,SOAR 可以对接入的安全设备及调用接口等提供安全能力资源进行统一纳管,针对各类设备通过基于 API 或者非 API 的方式集成。通过对安全资源的统一纳管,为安全能力封装提供基础。

部分 SOAR 工具还内置了安全事件报告功能,针对每个已经处置完成的安全事件,可以一键生成事件总结报告。报告包括与事件相关的时间、人员、剧本等信息,从而让用户进一步完善响应和处置流程;同时可以向上汇报,可视化安全价值。

同时,SOAR 平台具备丰富的安全剧本和知识库,并可以持续不断地沉淀安全团队的历史经验、WIKI、文章等,不仅可以直接执行调用实现线上能力转换,还可以用于内部教育学习,持续赋能,在增强安全运维能力的同时,提升企业整体的安全水位,并持续改进。

围绕《指南》,SOAR 作为自动化处置工具在安全运维模式以及其融合演变中能够发挥重要作用;还可以有效支持团队工具和流程的统筹协调,帮助建立内生安全循环机制,提升人员和防护能力。

围绕《框架》,SOAR 作为产品互联互通主要应用场景中的 “主角”,其互联互通的水平一定程度上决定了网络安全运维能力的高度,并最终在建设智能化、自动化的协同防护能力中发挥重要价值。

结尾

总而言之,SOAR 实现了安全资源的统一利用与调度,丰富了监管部门和运营企业的管理手段;通过引入自动化手段提升效率,减少了应急响应人员的投入;平台通过整合并封装标准能力接口,结合人机协同技术,实现了安全应急响应能力的对外开放,从而实现了安全能力的行业赋能。

但诚如《框架》编制说明中表示,我国目前网络安全产品同质化竞争严重,技术创新投入不足,创新能力有待提高;安全厂商产品类型复杂、不同产品的数据融合难、实现差异明显。

因此,想要通过产品互联互通而实现网络安全能力提升还有很长一段路要走;SOAR 想要集成和封装更多的安全资源和能力,也不能只是一厢情愿。

所以,安全产品互联互通的实施还需要更多主流安全厂商的开放,《指南》的落地以及安全运维能力的真正有效提升,也需要行业的共同努力和协作。只有这样,工具才能变得更有意义,才能帮助用户把安全做好。

转载申明

本文来源于:【雾帜智能】公众号 https://mp.weixin.qq.com/s/HIyCz_CXDf5T-mhG-46jjg

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册