SOAR技术文章 【转载】SOAR 产品自身安全性如何保证?(SOAR 百问千答 07 期)

jokerface · 2020年10月14日 · 40 次阅读

我们正在以“AI 人机协同 +SOAR”产品HoneyGuide的身份持续连载与 SOAR 相关的系列问题和解答。 注:SOAR,Security Orchestration, Automation and Response 安全编排、自动化和响应

采纳了公司销售杨同学的指导意见,从本期开始:SOAR 百问千答的问题名称放在标题里,且每期回答一个问题(原来是两个)。因为这个改进,我们今后也会加大 SOAR 百问千答的文章推送频次。

HoneyGuide#SOAR-FAQ-13 问:SOAR 产品自身安全性如何保证?

答:

好问题!

作为安全团队日常运营离不开的产品或工具,其自身安全性也很重要。SOAR 产品是能够向外部设备下发指令的连接调度指挥中心,权限很高,产品自身安全的重要性不言而喻。

SOAR 厂商至少应从如下方面保障产品自身的安全性:

(一)科学合理的的架构与功能设计

“安全性是设计出来的,不是测试出来的”。SOAR 厂商应遵循严格的基于最佳实践的系统安全保证策略、方法与实践,开展产品架构设计,功能设计,将安全基因植入产品,例如:身份认证、角色权限、操作审计、读写分离、通讯加密,等等。

(二)标准化的软件研发流程

2020 年 HW 期间,有多个安全厂商产品被集中暴露出严重安全漏洞;其中,很大的原因在于传统安全厂商自身缺乏工程化软件开发的能力,且疏忽于执行严格的软件开发流程。

“设计安全” 的产品还需要被安全地开发实现,SOAR 厂商应该严格遵从软件开发生命周期管理,特别是安全开发生命周期 SDL 流程。只有从需求到设计,开发,测试,打包,发布全流程的安全投入,才能切实保障软件产品的安全性。

(三)全面的渗透测试验证

最后,SOAR 产品商用交付前,还需要经过严格的安全性测试,包括黑盒测试、白盒测试,甚至邀请相关的外部团队参与渗透测试,确保系统安全性符合预期,满足安全要求。

补充:

雾帜智能 SOAR 产品 HoneyGuide,从设计之初就植入了安全基因,目前已经具备多项安全特性,能够满足国内外绝大多客户对 SOAR 产品自身安全的严苛要求。

以下是 HoneyGuide 关于自身安全性相关的说明(随着产品的迭代,还将有更多的安全特性被加入):

  • 网络层和应用层:

    • HoneyGuide 产品应部署在企业内网指定安全域,并做好访问控制。
    • 用户可以可以使用产品自带的 IP 白名单功能限制访问者 IP;
    • 产品默认使用 HTTPS 加密协议进行访问,且允许用户自定义 SSL 证书,保证通讯安全;
  • 系统鉴权

    • HoneGuide 支持本地账号登录,也支持 LDAP 远程登录,还可以按需支持与客户网内 SSO 单点登录系统集成;
    • HoneyGuide 支持双因素身份认证,在密码保护的同时还可以增加 OTP 动态令牌;
    • 用户账号频繁登录失败,会被系统锁定一段时间,防止暴力破解;
  • 用户权限控制

    • HoneyGuide 支持基于角色的用户权限控制;
    • 角色控制权限可细化到增删改查级别的 80 多个的子项 ;
  • 操作审计

    • 用户登录系统后,所有操作行为都将被审计;
    • 审计信息至少包括 5W1H 等元素,且不可被删除;
  • API 安全

    • 系统提供开放 API,且 API 具备 Token 鉴权机制
    • 必须使用后台颁发的 Token 和接口才能向系统发起请求;
    • API Token 支持源 IP 访问白名单控制机制;
  • 加密技术

    • 所有资产配置信息中的关键字段均以 AES256 算法加密存储在数据库中;
    • 硬件设备支持 Intel SGX 芯片级加密,可以更高地保护数据存储安全;
    • 所有调试日志、用户界面展示都对敏感信息做了脱敏,一旦录入将不再展示明文;
  • 自动化流程安全:

    • SOAR 安全剧本编排支持支持全自动流程设计,也支持在关键操作前插入人工审核节点,满足企业内部安全审批流程;
    • 所有的自动化操作分为读、写和通知三类,用户完全可以根据自身需要,对高危的写操作做流程节点的二次复核;
    • 应用动作支持 “安全模式”,满足特定剧本执行需求; 人机协同作战室支持安全动作执行前的二次复核,满足特殊行业的需求。

注:任何一款产品都是动态更新的,安全设计、安全开发和安全保证也是持续性工作,需要 SOAR 厂商自始至终的坚持。

好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。咱们下期见!

关于雾帜智能

雾帜智能:

2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。

HoneyGuide:

2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世: 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题; 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

往期参考:

本文转载于微信公众号:雾帜智能

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册