SOAR技术文章 安全编排,自动化和响应:启动所需的一切

cc · 2020年10月28日 · 183 次阅读

安全运营是一门建立良好的学科。数十年来,许多企业甚至都已经制定了 SecOps 策略。 但是,许多公司经常采用的安全操作方法存在许多缺陷。许多安全团队依赖于分散的安全工具,这些工具难以集中集成和管理。 这些工具产生的警报超出了分析人员和工程师的响应能力。 此外,即使在普遍存在的安全技能短缺的情况下,许多组织的安全操作流程在很大程度上仍然是手动的,这使得处理和响应所有警报变得更加具有挑战性。

安全协调,自动化和响应或 SOAR 作为应对所有这些挑战的对策。 通过采用 SOAR,企业可以将真正的现代化带入他们的安全策略,并为安全运营增加关键的效率和效力。

什么是 SOAR?

SOAR 是指允许企业收集和分析来自多个源的数据以识别其 IT 系统内的安全事件的解决方案。 此外,SOAR 有助于自动化安全问题的管理,通过单个界面管理安全工具以及协调对安全事件的响应。

SOAR 解决方案包含三个主要组件:

1、安全协调:安全协调是指组织可使用的每个安全工具和资源的集成和管理。 安全编排可帮助团队从中央位置利用其所有工具。

2、安全自动化:安全自动化是指使用软件工具来执行否则需要人类安全人员执行的任务。 尽管并非所有类型的安全任务都可以完全自动化,但是可以做到很多,从繁琐的任务(如更新防火墙规则和审核策略配置)到更高级的功能(如威胁分类,调查和响应)可以自动化。

3、事件响应:对安全问题做出反应并采取补救措施的行为称为事件响应。 应对措施包括首先解释警报和监视数据以确定安全事件的根本原因,然后采取措施控制和纠正问题,并确保不再发生威胁。

SIEM 与 SOAR

一些企业错误地认为拥有安全信息和事件管理或 SIEM 解决方案意味着他们不需要 SOAR。 SIEM 可自动从多个来源收集安全监视数据,并提供一个用于分析和跟踪警报的中央界面。 但是,SIEM 平台不提供 SOAR 的编排和自动化功能。 SIEM 主要侧重于监视和警报,而不是对简化安全操作至关重要的更广泛的功能和集成。 这就是为什么许多组织都需要 SIEM 和 SOAR 的原因。 SIEM 充当实时警报的聚合器,而 SOAR 以可行的方式扩展了 SIEM 的功能,可以对威胁进行分类,评估和响应。

排名前 4 的 SOAR 用例

现代安全威胁以许多不同的形式出现,这是应对这些挑战如此艰巨的原因之一。 但是,SOAR 提供了解决和简化几乎所有类型的事件响应工作流所需的灵活性和自动化,包括当今企业面临的主要安全威胁。

1、网络钓鱼:网络钓鱼攻击企图诱骗企业员工单击恶意链接或在其设备上安装恶意软件。 通过从各种来源收集和分析安全数据,SOAR 可以自动检测网络钓鱼攻击并对其做出响应。

2、恶意软件:无论是员工 PC 上的本地存储,通过网络发送的电子邮件附件,公司的服务器还是企业使用的第三方云基础架构,SOAR 都可以响应整个 IT 领域中的恶意软件威胁,生成警报并在许多情况下,它们会自动缓解。

3、内部威胁:一些最大的安全威胁不是来自外部攻击者,而是来自 “内部”,这意味着企业的员工,承包商,合作伙伴或有权访问内部网络和系统的其他人员。 由于 SOAR 可以在多个位置自动响应事件,因此它提供了确定内部人员和外部对手威胁的必要范围。

4、威胁搜寻:威胁搜寻是指主动识别 IT 系统内部存在的安全漏洞,这些漏洞在被实际利用之前是无法被发现的。 将威胁搜寻工具与 SOAR 结合使用可让组织自动执行有针对性的搜寻,并根据传入的威胁情报轻松建立搜寻。 通过所有这些方式,SOAR 通过提高公司检测和响应各种类型威胁的能力的效率和深度,帮助将安全操作提升到一个新的水平。

充分利用 SOAR 的最佳实践

虽然实施 SOAR 解决方案是增强安全性操作的第一步,但要充分利用 SOAR,则需要以最大化其价值的方式来利用该解决方案。

建立明确的目标

首先为 SOAR 设定明确的目标。 不同的组织会根据其所从事的行业,公司的规模,所基于的地区以及 IT 基础架构的复杂性以及其他因素来面临不同类型的威胁。 结果,威胁评估至关重要,并且对于每家公司而言,它的外观都会有所不同。

例如,严重依赖于连接设备的企业所面临的威胁前景可能与企业对云的深度投资或远程员工人数超过正常人数的公司(突然成为每个组织)的威胁前景不同。 再举一个例子,其 IT 基础架构基于 Linux 的企业可能比严重依赖 Windows 的企业更不容易受到恶意软件的攻击,因为为 Windows 编写了更多的恶意软件。 您的企业应确定哪种威胁最适合其情况,然后确保以针对这些威胁的量身定制的方式部署 SOAR。

利用安全剧本

安全剧本是安全自动化的核心组成部分之一。 它们使团队可以定义对各种类型的安全事件做出响应的过程。 它们不仅通过消除在出现新型威胁时手动设计解决方案的需要来缩短响应时间,而且它们还可以通过软件工具支持全自动响应,从而消除了工程师完全响应的需要。 尽管不是所有类型的威胁都可以由剧本来管理(复杂的威胁需要手动干预),但只要有可能就利用剧本可以帮助最大化 SOAR 的价值。

以威胁为中心 vs. 警报为中心的方法

以威胁为中心的方法意味着要设计您的安全业务流程和自动化解决方案,以根据威胁的类型做出反应。 这与以警报为中心相反,后者需要分别对警报做出反应。 以威胁为中心的方法避免了让多个分析人员应对同一类型威胁的低效率,因为他们每个人都收到了与该威胁有关的警报。 相反,可以根据警报所代表的威胁类型将它们分组在一起,从而可以更快地进行补救。

部署最有意义的安全工具

SOAR 应该允许您将最适合您需求的任何安全工具集成在一起。 如果您的 SOAR 解决方案由于仅与某些供应商兼容而限制了您可以使用哪些工具,那么您将错过 SOAR 的主要优势之一,那就是通过一个中央平台,尽可能地统一整个安全工具集。 为此,请确保确定最适合您需求的工具,然后选择支持它们的 SOAR 解决方案 - 而不是从 SOAR 开始,然后才选择兼容的工具。

持续改进

尽管 SOAR 提供了强大的自动化功能,但绝不应将其视为一劳永逸的事情。 相反,旨在通过查看和分析有关当前活动的报告和指标来不断改进您使用 SOAR 的方式,然后使用所收集的见解来修改您的流程,以便您可以充分利用投资。

了解哪种 SOAR 软件适合您的业务

随着越来越多的企业寻求使 IT 和安全操作自动化的方法,越来越多的 SOAR 解决方案正进入市场以解决这一需求。 但是并非所有 SOAR 都是一样的。为了充分利用您的 SOAR 解决方案并确保它可以继续应对未来的威胁,组织应选择一个提供以下选项的选项:

·剧本,以充分利用自动化

·内容丰富,有助于快速理解复杂的安全问题

·基于案例的管理,用于将不同类型的事件和响应分组在一起。

·协作功能可帮助不同的利益相关者协调对事件的响应。

源文来自于https://content.siemplify.co,翻译来自于杜晨晨

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册