为帮助安全运营团队和安全分析师从重复、简单、枯燥的日常工作中解脱出来,并减少由于人工误操作引起的不必要的事故,提高安全分析、应急响应和网络运维能力,启明星辰泰合产品本部基于十多年安全管理分析平台产品研发经验,深厚的综合分析平台整体解决方案能力,丰富的全国大型项目实践积累,即将推出启明星辰泰合智能运营系统(以下简称:TSOC-IOS),帮助企业和组织实现提高整体安全运营工作效率的目标。
核心观点
该系统使用安全编排与自动化响应(SOAR)技术,通过数字化的工作流定义事件分析和响应过程,安全运营人员可根据标准化的事件响应流程,实现自动化的进行事件分析和优先级排序,帮助企业和组织在面临威胁时提供预测、防御、检测和响应能力。该平台融合了安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报(TI)的相关理念和技术,并引入数字化工作流。系统以目标为导向,将日常具体的各项安全工作内容固化为工作流上的一个个节点,通过对这些节点的有序排列组合,编排为某一复杂工作的工作流程,也称为 “剧本”(或 Playbooks)。在日常安全运营工作中,针对某项具体工作,如果存在编排好的剧本,则可以依据这个剧本按部就班地工作,通过程序进行自动化响应也便成为可能。除此之外,TSOC-IOS 还具有运营绩效 KPI 评估体系,可对业务工作流程和剧本自动化执行的结果进行有效的评估,以便进行工作流程的改造和编排内容的优化。泰合智能运营系统 TSOC-IOS 可进行安全事件的收集,评估其严重性,协调事件响应和补救,并监测整个过程,可解决响应过程中人员短缺、改进告警分类质量和速度、减少事件响应时间、提高安全运营团队整体工作效率等问题。
借助公司完备的安全产品链优势,泰合智能运营系统 TSOC-IOS 可以很好地集成和整合现有的安全能力。传统网络安全市场狭长的产品链造就了相对分散的行业格局,市场参与者各有所长。随着智慧城市、政务云、私有云的快速发展,企业和组织关注的重点从单点防御向整体协调防护转变,这催生了高端用户在整合安全防护的需求,安全厂商以整体解决方案和安全运营服务满足客户需求的模式开始出现。启明星辰具有完备安全产品链,启明星辰在安全管理平台、态势感知等平台类产品和解决方案中集成了各类引擎,如安全防护网关、资产绘测引擎、网站监测引擎、脆弱性扫描引擎、性能监测引擎、威胁感知引擎、威胁情报等,通过泰合智能运营系统 TSOC-IOS 的安全编排与自动化响应能力,可快速联动这些独立的安全设备,进行统一协同的智能安全运营。
2 三大价值
泰合智能运营系统 TSOC-IOS 的价值可归纳为以下三方面:增强 SIEM/SOC 平台的管理、创建更好的威胁调查平台、优化安全团队和程序管理。
增强 SIEM/SOC 平台的管理
从企业和组织在整体安全防御体系的建设上来,安全管理平台 SIEM/SOC 是整体安全防御体系的顶层平台,泰合智能运营系统 TSOC-IOS 接收安全运营中心的安全事件或告警,进行安全编排与事件自动化响应处置,这对客户来说是具有战略意义的,它直接与安全运营的目标联系在一起。具体来说,泰合智能运营系统 TSOC-IOS 能够将安全编排与自动化响应能力和 SIEM/SOC 中安全分析师角色进行紧密结合,最常见的情况是,与来自 SIEM/SOC 的事件处置工作流直接相关。这一价值的关键指标是,在一个 SIEM 解决方案中,能够为安全运营分析团队提高他们执行任务的效率。
创建更好的事件调查平台
这一价值同样集中在运营团队的安全分析人员身上,目标是帮助分析人员使用 TSOC-IOS 系统的威胁情报增强其事件分析调查能力,从而更好地进行事件响应与处置。另外还可以对信誉库、漏洞库、资产库、专家情报库(如护网情报)等多源情报源进行汇聚,大大提高了威胁情报的识别率。泰合智能运营系统 TSOC-IOS 除了丰富事件的调查数据外,还可以收集用户环境内的安全事件,通过使用分析技术将关键信息进行提取,并作为内部威胁情报(IOC)使用,或者通过观察事件的真实性上吸取经验教训,为后续事件处置提供经验支撑。
优化安全运营团队和计划管理
泰合智能运营系统 TSOC-IOS 为安全领导者(首席安全官 CISO)提供一个工具和平台,让他们能够以更多的信息和更快的速度对自己的计划做出战略决策和运营决策。运营团队成员工作效率的高低可通过一系列指标来衡量,例如,由调查小组创建的哪些流程对公司最重要?哪个效果最低?通过添加新的安全预防控制或措施,可以减少多少团队操作?哪些团队成员表现最佳,哪些成员需要更多培训?从本质上讲,基于对安全运营团队实际操作数据的分析,泰合智能运营系统 TSOC-IOS 可成为管理层和首席信息安全官(CISO)对团队运营工作记录和团队管理优化的首选工具。