SOAR国内厂商 只需三分钟,轻松完成企业安全编排响应(SOAR)

unix · 2020年08月03日 · 2910 次阅读

文章转载自:https://www.sohu.com/a/384852637_476857

权威咨询机构 Gartner 发布的 2019 年安全编排与自动化响应解决方案(SOAR)市场指南中指出,“截止 2022 年,安全团队规模超过 5 人的安全企业中,超过 30% 的企业将使用 SOAR 安全编排自动化响应方案”。今天绿盟君就来介绍下,企业如何借助绿盟 SOAR 系统在三分钟内完成安全编排及自动化响应。

从安全事件处置流程看企业在安全运营中的痛点及诉求

在企业传统的安全运维及事件处置中,一般遵循以下流程:

表:传统安全运维流程

经过以上的 7 步,一个信息安全事件的处置流程才算是结束。在该过程中,会有多个部门不同角色参与,处置流程较繁琐,效率难以量化,不同事件的处置流程难以统一标准化。

同时企业在安全运维中还常常面临着以下痛点:事件告警太多,有效事件告警被淹没,导致安全事件难以及时处置。企业侧往往缺乏安全分析及处置的专业人员,安全分析经验难固化,而且安全专家很容易陷于重复的安全处置工作中,以至很难发挥出其真正的价值。最重要的是,企业受到流程及人员的制约,传统安全响应处置的时间过长。

因此企业在安全运营发展及演变中增加了以下的诉求:

提高信噪比:增加有效高保真告警,使有限的安全专家资源专注投入于真正需要危险和问题上。

降低 MTTR: 固化安全处置流程,不断积累运营经验,持续运营,使得响应处置时间不断降低。

绿盟科技 SOAR 安全编排及自动化响应方案

图:绿盟 SOAR 组件入口

ISOP 智能安全运营平台已经融合了 SOAR 安全编排自动化响应功能,从绿盟 ISOP 智能安全运营中心运维响应 - 联动编排入口,即可使用安全编排及自动化响应处置功能,开启企业自动化安全编排响应之旅。

图:绿盟 SOAR 安全编排及自动化响应方案

ISOP 中 SOAR 组件通过可视化编排将人、安全技术、流程进行深度融合;通过人工运维经验固化而来的 Playbook 剧本串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,案例管理基于对安全事件上下文有更全面、端到端的理解,帮助企业将复杂的事件响应过程和任务流转变为一致的、可重复的、可度量的和有效的工作流,变被动应急响应为自动化持续响应。

五大核心助力企业实现安全编排响应

1、全生命周期案例管理

图:案例管理

案例是 SOAR 组件中最基础的功能,贯穿整个安全事件处置生命周期,包括信息安全事件研判所需的日志源、安全规则、情报取证及事件处置 Playbook 剧本的选择及执行。企业中告警安全事件只要能够匹配到案例,即可完成自动化响应处置,案例对安全事件上下文有更全面、端到端的理解,有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流。

在企业安全运营中,可将常见的安全事件与 SOAR 不同类别的案例建立对应关系,同一性质的案例(如:挖矿、入侵、拒绝服务、勒索、钓鱼、盗链、信息泄露等)可以选择一类相通的处置方法,案例的流程处理功能可以为不同性质的案例指派不同的 Playbook 剧本,并监督执行完成企业安全事件自动化闭环响应处置。

2、可视化安全拖拽编排

图:可视化案例编排 1

图:可视化案例编排 2

ISOP 中 SOAR 组件内置了一些常见攻击对应的案例,除此之外,企业可通过可视化拖拽编排方式快速创建案例及其对应 Playbook 剧本,安全研判不同步骤间往往具有依赖关系,安全事件分析过程通过可视化拖拽方式,为安全处置提供上下文,避免传统运维要在不同页面间进行跳转切换,降低安全事件处置复杂度。案例一旦创建成功启用,后续命中案例的事件即可通过自动化方式进行处置,降低了不同部门间协同沟通、流程流转消耗的成本。

图:案例处置流程跟踪

案例可以帮助企业对一组相关的事件进行流程化、持续化的调查分析与响应处置跟踪记录,案例执行过程中,安全事件每个中间过程执行状态(成功、执行中、失败)均可在可视化编排流程中进行展示,进而实现端到端运维流程可视化。

3、Playbook 剧本自动化处置

图:剧本 Playbook 运行状态

Playbook 剧本等同于安全工程师的工作流程,可驱动与案例匹配事件的自动化闭环安全处置,ISOP SOAR 模块可能会涉及到多个剧本并发执行,不同剧本的运行状态可通过界面进行全局概览(正在执行、执行成功、失败)。

企业中安全事件处置流程经验可以固化为 Playbook 剧本,并应用于自动化响应处置中,处置的动作可包括设备封堵、工单发送、邮件通知等,这样安全专家就可以从繁琐重复的安全运维中释放出来。

4、插件化响应设备集成

自动化安全编排响应 “最后一公里路” 封禁响应一般由安全设备进行执行,绿盟 ISOP 一键封堵模块前期已经积累了大量的响应处置设备,如防火墙、ADS、UTS、IDS、WAF 等,响应的动作包括:会话封堵、IP 封禁、域名黑名单、流量牵引清洗等,这些设备无需二次开发,即可直接通过 SOAR 模块实现即插即用。只需要根据第三方设备提供的北向管控接口开发插件,就可完成第三方设备自动化联动编排响应。

接入到 SOAR 系统的安全设备,通过 Playbook 剧本调用,即可完成自动化响应处置,无需安全运维人员登录到独立的安全设备上配置阻断策略。

5、自动化运维大屏展示

图:自动化运维大屏展示

自动化运维大屏可从全局视角呈现企业自动化响应处置概况,如自动响应运营效率、案例事件统计信息、案例事件处置趋势、剧本执行信息等,将运维指标通过可度量可量化方式进行展示。

绿盟 SOAR 系统为企业安全运营带来的价值

1、降低安全事件处置时间 MTTR

对于已知案例事件,通过案例匹配触发机制,企业可在三分钟内完成安全编排及自动化闭环响应流程。

表:传统运维时效与自动化运维响应处置时间对比

2、将安全运维人员从重复工作中释放出来

将安全专家的经验固化成 Playbook,实现已知攻击分析、研判、处置全流程自动化,这样安全专家即可将精力投入到红蓝对抗、威胁狩猎、威胁建模、APT 分析、漏洞挖掘等需要高级安全技能的工作场景,为企业安全运维工作创造更高的价值。

3、安全处置流程标准化,降低部门间协同沟通成本

SOAR 系统的精髓是不同威胁场景对应的研判策略和处置策略的选择,这也正是 Playbook 在企业攻防对抗竞争中的核心价值体现之处,运维流程的标准化是 Playbook 剧本固化的前提,可借助 SOAR Playbooks 生成为抓手,变繁杂不规矩的处置流程标准化,夯实企业信息安全运营流程标准化建设。

总结

绿盟智能安全运营平台 (ISOP) 已经很好地支撑了安全威胁实时预警、资产及漏洞全生命周期管理、安全态势全面监控等企业安全运营场景。SOAR 模块的融合为企业安全运营提供了一种全新的模式,将人、技术、流程深度融合,变传统的人工监测、预警、分析、多部门流转响应处置为安全编排及自动化响应处置,提高了企业安全运维效率,降低了企业安全运营成本,助力企业在体系化安全建设大潮中迅速转型。

参考文档:Gartner 2019 Market Guide for Security Orchestration, Automation and Response Solutions

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册