當(dāng)前��,由于企業(yè)的數(shù)字資產(chǎn)攻擊面不斷擴大�����,以及數(shù)字化業(yè)務(wù)資產(chǎn)價值不斷提升���,企業(yè)面臨的攻擊威脅也在不斷增加。為了應(yīng)對挑戰(zhàn)���,企業(yè)需要進一步增強安全運營中心的自動化水平�����,提高消除安全威脅的速度和敏捷性�����,同時減輕運營人員的工作壓力�。安全編排與自動化響應(yīng)(SOAR)正是幫助企業(yè)實現(xiàn)安全運營自動化的代表性技術(shù)之一�。
大量應(yīng)用實踐表明,SOAR可以幫助企業(yè)安全運營中心實現(xiàn)以下方面的能力優(yōu)化:
安全能力編排
SOAR可以幫助安全運營中心實現(xiàn)各種異構(gòu)安全工具的銜接和工作協(xié)同��,從而提高獲取威脅、運營監(jiān)控和識別事件的效率��。
自動化
SOAR可以通過預(yù)定義的參數(shù)自動觸發(fā)工作流程�、任務(wù)和警報,幫助企業(yè)安全運營中心實現(xiàn)更積極的主動安全防護模式�。
事件響應(yīng)
SOAR可以加快企業(yè)安全運營中心對中、低風(fēng)險事件進行通用性和針對性的處置響應(yīng)�����,并通過統(tǒng)一視圖方式來訪問����、查詢和共享威脅情報,為安全分析師提供支持���。
北信源SOAR
助力企業(yè)安全運維響應(yīng)自動化
北信源作為國內(nèi)信息安全領(lǐng)域領(lǐng)軍企業(yè),憑借多年安全服務(wù)經(jīng)驗��,研發(fā)了北信源安全編排與自動化響應(yīng)系統(tǒng)(SOAR)安全產(chǎn)品��。通過連接企業(yè)各類現(xiàn)有安全設(shè)備���、網(wǎng)絡(luò)設(shè)備�����、辦公軟件�����、通信服務(wù)以及相關(guān)人員�����,緩解企業(yè)安全專業(yè)人才不足���、響應(yīng)效率要求高�、重復(fù)工作冗雜等問題��,幫助安全運營團隊實現(xiàn)更高效�����、更準(zhǔn)確的安全事件響應(yīng)和威脅管理����,有效降低安全風(fēng)險和減少響應(yīng)時間。
其強大功能主要體現(xiàn)在以下方面:
1 多源事件聚合
可對接各類事件檢測設(shè)備�,包括但不限于威脅情報系統(tǒng)(TIP)��、防病毒系統(tǒng)(AV)��、終端安全檢測與響應(yīng)系統(tǒng)(EDR)���、入侵檢測系統(tǒng)(IDS)、身份與訪問安全管理系統(tǒng)(IAM)�����、安全信息與事件管理系統(tǒng)(SIEM)����、態(tài)勢感知系統(tǒng)(CSA)等,將各類安全事件告警統(tǒng)一匯入SOAR系統(tǒng)中����,自動合并重復(fù)告警,減少管理員需要查看的告警數(shù)量�,并自動轉(zhuǎn)化為不同等級和類型的案件,幫助管理員聚焦重要的事件告警��。
2 第三方能力調(diào)度
可整合各類安全處置設(shè)備�����,包括各類安全設(shè)備�、網(wǎng)絡(luò)設(shè)備、辦公軟件和通信服務(wù)�����。當(dāng)處理事件和運維任務(wù)時��,在SOAR控制臺可調(diào)用相關(guān)設(shè)備對威脅進行遏制��、根除����、恢復(fù),給相關(guān)用戶發(fā)通知���,對系統(tǒng)進行加固���,生成內(nèi)生威脅情報等,成為企業(yè)安全能力的統(tǒng)一調(diào)度中臺��。
3 跨部門任務(wù)協(xié)作
在安全事件處置過程中�,可通過短信、郵件�����、即時通信等方式邀請相關(guān)人員進行人工協(xié)作。如某些危險操作需要請示領(lǐng)導(dǎo)審批�,某些信息收集需要人工填報匯總,某些無法自動化處置的任務(wù)需要相關(guān)人員線下處置等�,實現(xiàn)跨部門的團隊協(xié)作。
4 運維/響應(yīng)自動化
內(nèi)置劇本庫���,滿足安全運營團隊安全運維和事件響應(yīng)的通用自動化處置需求��。運營團隊可根據(jù)需要�����,通過可視化編排�,對劇本進行剪裁和修改�,甚至創(chuàng)建新劇本,以適應(yīng)單位的個性化需求�。對于不同類型的案件,劇本可配置自啟動����,對安全事件進行自動調(diào)查、自動遏制���、自動根除��、自動恢復(fù)���,并在劇本執(zhí)行過程中請求人工干涉。
5 統(tǒng)一案件處理
支持事件響應(yīng)和安全運維全生命周期的管理����。可通過調(diào)用劇本��、處置設(shè)備和人工協(xié)作處置案件���,滿足事件響應(yīng)各個階段的處置需求�,可對事件展開自動化的跟蹤�、調(diào)查、狩獵和通知����,提高運營團隊對安全事件的響應(yīng)效率,減少應(yīng)對事件的平均響應(yīng)時間��。
6 運營成果可視化
可對北信源SOAR系統(tǒng)的運營成果進行總結(jié)����,并以可視化的方式展示并導(dǎo)出�,使安全部門負(fù)責(zé)人能夠及時了解運營現(xiàn)狀��,同時也為管理者向上級匯報提供素材����。
乘人工智能之翼
SOAR應(yīng)用場景創(chuàng)新升級
當(dāng)前,大語言模型的技術(shù)突破標(biāo)志著人工智能進入了新的時代�����,也推進了安全運營的產(chǎn)業(yè)升級����。北信源發(fā)揮人工智能的創(chuàng)造力開啟對話式智能安全運營的新方式,其中運用到SOAR的場景如下:
當(dāng)北信源內(nèi)網(wǎng)安全管理系統(tǒng)(EPP)�、主機安全檢測響應(yīng)系統(tǒng)(EDR)和數(shù)據(jù)泄露防護系統(tǒng)(DLP)發(fā)現(xiàn)違規(guī)或受害終端時,大語言模型可根據(jù)北信源SOAR系統(tǒng)現(xiàn)有劇本庫和安全運營人員的歷史處理行為�,通過“信源密信”安全即時通信平臺為運營者提供劇本選擇建議或創(chuàng)建新的劇本。運營者可根據(jù)大語言模型提供的劇本建議對事件進行研判����、調(diào)查、狩獵、響應(yīng)����,并在事后總結(jié),使大語言模型能夠不斷豐富事件處置經(jīng)驗����。
目前�����,眾多行業(yè)已逐漸將目光轉(zhuǎn)向安全運營���,如何大幅提升安全運營效率已成為當(dāng)前時代重要的課題�。北信源將持續(xù)發(fā)揮自身技術(shù)優(yōu)勢���、不斷創(chuàng)新突破��,以SOAR結(jié)合更多安全層面��,整合更豐富�����、更智能的安全能力�����,進一步提升對安全事件閉環(huán)處置的效率�����,為企業(yè)整體安全運營工作提供可靠保障��,保證核心業(yè)務(wù)的平穩(wěn)運行�。
