我们正在以“AI 人机协同 +SOAR”产品HoneyGuide的身份持续连载与 SOAR 相关的系列问题和解答。 注：SOAR，Security Orchestration, Automation and Response 安全编排、自动化和响应

采纳了公司销售杨同学的指导意见，从本期开始：SOAR 百问千答的问题名称放在标题里，且每期回答一个问题（原来是两个）。因为这个改进，我们今后也会加大 SOAR 百问千答的文章推送频次。

HoneyGuide#SOAR-FAQ-13 问：SOAR 产品自身安全性如何保证？

答：

好问题！

作为安全团队日常运营离不开的产品或工具，其自身安全性也很重要。SOAR 产品是能够向外部设备下发指令的连接调度指挥中心，权限很高，产品自身安全的重要性不言而喻。

SOAR 厂商至少应从如下方面保障产品自身的安全性：

（一）科学合理的的架构与功能设计

“安全性是设计出来的，不是测试出来的”。SOAR 厂商应遵循严格的基于最佳实践的系统安全保证策略、方法与实践，开展产品架构设计，功能设计，将安全基因植入产品，例如：身份认证、角色权限、操作审计、读写分离、通讯加密，等等。

（二）标准化的软件研发流程

2020 年 HW 期间，有多个安全厂商产品被集中暴露出严重安全漏洞；其中，很大的原因在于传统安全厂商自身缺乏工程化软件开发的能力，且疏忽于执行严格的软件开发流程。

“设计安全” 的产品还需要被安全地开发实现，SOAR 厂商应该严格遵从软件开发生命周期管理，特别是安全开发生命周期 SDL 流程。只有从需求到设计，开发，测试，打包，发布全流程的安全投入，才能切实保障软件产品的安全性。

（三）全面的渗透测试验证

最后，SOAR 产品商用交付前，还需要经过严格的安全性测试，包括黑盒测试、白盒测试，甚至邀请相关的外部团队参与渗透测试，确保系统安全性符合预期，满足安全要求。

补充：

雾帜智能 SOAR 产品 HoneyGuide，从设计之初就植入了安全基因，目前已经具备多项安全特性，能够满足国内外绝大多客户对 SOAR 产品自身安全的严苛要求。

以下是 HoneyGuide 关于自身安全性相关的说明（随着产品的迭代，还将有更多的安全特性被加入）：

• 网络层和应用层：

  • HoneyGuide 产品应部署在企业内网指定安全域，并做好访问控制。
  • 用户可以可以使用产品自带的 IP 白名单功能限制访问者 IP；
  • 产品默认使用 HTTPS 加密协议进行访问，且允许用户自定义 SSL 证书，保证通讯安全；

• 系统鉴权

  • HoneGuide 支持本地账号登录，也支持 LDAP 远程登录，还可以按需支持与客户网内 SSO 单点登录系统集成；
  • HoneyGuide 支持双因素身份认证，在密码保护的同时还可以增加 OTP 动态令牌；
  • 用户账号频繁登录失败，会被系统锁定一段时间，防止暴力破解；

• 用户权限控制

  • HoneyGuide 支持基于角色的用户权限控制；
  • 角色控制权限可细化到增删改查级别的 80 多个的子项 ；

• 操作审计

  • 用户登录系统后，所有操作行为都将被审计；
  • 审计信息至少包括 5W1H 等元素，且不可被删除；

• API 安全

  • 系统提供开放 API，且 API 具备 Token 鉴权机制
  • 必须使用后台颁发的 Token 和接口才能向系统发起请求；
  • API Token 支持源 IP 访问白名单控制机制；

• 加密技术

  • 所有资产配置信息中的关键字段均以 AES256 算法加密存储在数据库中；
  • 硬件设备支持 Intel SGX 芯片级加密，可以更高地保护数据存储安全；
  • 所有调试日志、用户界面展示都对敏感信息做了脱敏，一旦录入将不再展示明文；

• 自动化流程安全：

  • SOAR 安全剧本编排支持支持全自动流程设计，也支持在关键操作前插入人工审核节点，满足企业内部安全审批流程；
  • 所有的自动化操作分为读、写和通知三类，用户完全可以根据自身需要，对高危的写操作做流程节点的二次复核；
  • 应用动作支持 “安全模式”，满足特定剧本执行需求； 人机协同作战室支持安全动作执行前的二次复核，满足特殊行业的需求。

注：任何一款产品都是动态更新的，安全设计、安全开发和安全保证也是持续性工作，需要 SOAR 厂商自始至终的坚持。

好了，本期就到这里。如果您有任何 SOAR 方面的问题，请给我们留言，HoneyGuide 一定会认真答复。咱们下期见！

关于雾帜智能

雾帜智能：

2019年4月10日，上海雾帜智能科技有限公司正式成立；公司专注于将人工智能技术和现实应用场景结合，通过显著提升自动化能力助力企业解放生产力。

HoneyGuide：

2019年8月21日，上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世： 用 “AI 机器人” 和 “安全作战室” ，解决人人、人机的协同问题； 用 “安全剧本” 将应急响应中的各个单点动作串联起来，实现流程自动化，解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术，产品大幅提高了企业安全应急响应速度，全面降低企业安全运营的成本。

往期参考：

• 为什么你的应急响应需要 SOAR？
• 关键时刻，你需要一名智能队友！
• SOAR 百问千答-01 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-01 问：什么样的用户需要用到 SOAR？
  • HoneyGuide#SOAR-FAQ-02 问：SOAR 的编排和流程编排有什么区别？
• SOAR 百问千答-02 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-03 问：SOAR 交付成本是不是很高？
  • HoneyGuide#SOAR-FAQ-04 问：SOAR 产品的核心技术有哪些？
• SOAR 百问千答-03 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-05 问：SIEM 和 SOAR 的区别是啥？
  • HoneyGuide#SOAR-FAQ-06 问：SOAR 产品如何调用外部安全能力？
• SOAR 百问千答-04 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-07 问：自动化脚本就可以实现的功能为什么需要 SOAR？
  • HoneyGuide#SOAR-FAQ-08 问：雾帜智能的 SOAR 能解决客户百分之多少的场景或工作量？
• SOAR 百问千答-05 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-09 问：什么样的场景适合 SOAR？
  • HoneyGuide#SOAR-FAQ-10 问：SOAR 的使用者是哪些人？
• SOAR 百问千答-06 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-11 问：安全作战室是什么？
  • HoneyGuide#SOAR-FAQ-12 问：为什么需要人机协同？

本文转载于微信公众号：雾帜智能

• 原文链接：(https://mp.weixin.qq.com/s/0Mg4NymY0bSlkuJEYIzSkw)