SOAR(security orchestration,automation and response),由Gartner于2015年提出,最初的含義是安全運(yùn)營(yíng)、分析與報(bào)告。2017年,Gartner又重新定義了SOAR的能力,包括安全編排、安全自動(dòng)化和安全響應(yīng)。
Gartner認(rèn)為,SOAR是一組兼容軟件程序的堆棧,用以收集對(duì)網(wǎng)絡(luò)安全造成威脅的數(shù)據(jù),并對(duì)安全事件做出響應(yīng)。用戶使用SOAR平臺(tái)的目的是提高物理系統(tǒng)及數(shù)字安全運(yùn)營(yíng)的效率。
SOAR的三大功能
安全編排
安全編排是通過工具將不同系統(tǒng)整合,如漏洞掃描、終端防護(hù)、行為分析、防火墻、IDS/IPS或外部威脅情報(bào)源等,進(jìn)行自定義集成和接口對(duì)接,從而提升數(shù)據(jù)的收集能力。
通過這些來源收集的數(shù)據(jù)越多,偵測(cè)威脅的機(jī)會(huì)就越大,同時(shí)也能獲得更完整的背景信息,并改善協(xié)作。
安全自動(dòng)化
安全自動(dòng)化通過分析從安全編排中收集的數(shù)據(jù)及告警,創(chuàng)建自動(dòng)化流程來替代人工流程。安全運(yùn)營(yíng)平臺(tái)以前由分析人員執(zhí)行的任務(wù),比如漏洞掃描、日志分析和審計(jì)能力,現(xiàn)在能夠通過SOAR的安全自動(dòng)化功能實(shí)現(xiàn)標(biāo)準(zhǔn)化并且自動(dòng)執(zhí)行。
安全響應(yīng)
安全響應(yīng)為分析人員提供單一視圖,這個(gè)單一視圖可以促進(jìn)安全、網(wǎng)絡(luò)和系統(tǒng)之間的協(xié)作及情報(bào)共享。安全人員在檢測(cè)到威脅后,能夠規(guī)劃、管理、監(jiān)控和報(bào)告已采取的行動(dòng)。
SOAR的核心優(yōu)勢(shì)
SOAR是基于系統(tǒng)執(zhí)行安全操作的能力,能夠檢測(cè)、調(diào)查和消除網(wǎng)絡(luò)威脅,無需人工干預(yù)。SOAR的自動(dòng)化編排與響應(yīng)能力能夠?qū)崿F(xiàn)以下功能:
- 檢測(cè)用戶環(huán)境中的威脅;
- 對(duì)潛在威脅進(jìn)行分類;
- 確定是否對(duì)事件采取行動(dòng);
- 控制并解決問題。
SOAR的這些功能無需人工干預(yù)即可實(shí)現(xiàn)。安全分析人員不需要按照步驟、說明和決策流程來確定事件是否是合法事件;重復(fù)、耗時(shí)的操作可以通過SOAR的自動(dòng)編排與響應(yīng)功能完成,分析人員可以專注于更重要、增值的工作。
安數(shù)云的DCS-SOAR平臺(tái)
面對(duì)海量數(shù)據(jù),如何進(jìn)行精準(zhǔn)高效的安全運(yùn)營(yíng),是當(dāng)前各行業(yè)用戶重點(diǎn)關(guān)注的問題。安數(shù)云作為國(guó)內(nèi)專業(yè)的云安全整體解決方案及服務(wù)提供商,敏銳把握用戶需求,推出安數(shù)云DCS-SOAR(安全編排自動(dòng)化響應(yīng))平臺(tái),通過充分應(yīng)用SOAR的各項(xiàng)安全能力,為用戶提供更高效的智能安全運(yùn)營(yíng)管理服務(wù)。
安數(shù)云認(rèn)為,業(yè)內(nèi)SOAR平臺(tái)主要分為三個(gè)類型:集成型、獨(dú)立型、混合型。安數(shù)云以混合型切入,安數(shù)云DCS-SOAR平臺(tái)通過資產(chǎn)、事件、漏洞、定時(shí)四個(gè)維度開展安全編排與自動(dòng)響應(yīng)功能,通過組織收集多種來源的數(shù)據(jù),并根據(jù)縱深防御原則,應(yīng)用工作流來拉通各種流程和規(guī)程。
以資產(chǎn)類響應(yīng)為例,用戶上線資產(chǎn)后,通過資產(chǎn)探測(cè)觸發(fā)劇本,劇本自動(dòng)與資產(chǎn)管理模塊聯(lián)動(dòng)、根據(jù)資產(chǎn)類型進(jìn)行分類入庫及漏洞掃描、期間通過AI模型引擎進(jìn)行數(shù)據(jù)處理及搜集,將需要防護(hù)的資產(chǎn)生成對(duì)應(yīng)策略,并添加至SDN服務(wù)鏈進(jìn)行防護(hù),整套流程全部通過劇本編排做到自動(dòng)化響應(yīng)。
除此以外,AI引擎還會(huì)提供包括事件管理、告警統(tǒng)計(jì)、威脅情報(bào)管理、自動(dòng)巡檢,以及功能分析等多種能力。
安數(shù)云DCS-SOAR平臺(tái)致力于解決用戶云上資產(chǎn)的安全運(yùn)營(yíng)問題,面對(duì)用戶防護(hù)設(shè)備繁雜臃腫、安全事件難以及時(shí)響應(yīng)、運(yùn)營(yíng)成本逐年上升的困境,安數(shù)云DCS-SOAR平臺(tái)以安全大腦驅(qū)動(dòng)為核心,建立運(yùn)營(yíng)體系,通過OneStep框架實(shí)現(xiàn)第三方安全產(chǎn)品的“無門檻接入、低門檻納管”;通過劇本編排實(shí)現(xiàn)自動(dòng)化快速響應(yīng)以及網(wǎng)絡(luò)調(diào)度。
安數(shù)云DCS-SOAR平臺(tái)以安全運(yùn)營(yíng)為導(dǎo)向,通過態(tài)勢(shì)感知+SOAR+云安全管理等各項(xiàng)功能,協(xié)助用戶實(shí)現(xiàn)低成本的資產(chǎn)管控以及安全運(yùn)營(yíng),達(dá)到可視、可用、可管、可控。
得力于DCS-AI安全大腦,安數(shù)云DCS-SOAR平臺(tái)結(jié)合多源異構(gòu)日志采集處理、大數(shù)據(jù)檢索存儲(chǔ),對(duì)安全事件應(yīng)急響應(yīng)速度提升1200%,對(duì)于0day漏洞,也能夠快速?gòu)那閳?bào)庫中檢索,第一時(shí)間快速篩查并隔離風(fēng)險(xiǎn)資產(chǎn)。
SOAR平臺(tái)是網(wǎng)絡(luò)安全運(yùn)營(yíng)趨勢(shì)
在不斷增長(zhǎng)且日益數(shù)字化的世界中,網(wǎng)絡(luò)安全面臨諸多挑戰(zhàn)。威脅變得越來越頻繁和復(fù)雜,企業(yè)需要制定一種高效且有效的安全運(yùn)營(yíng)策略,應(yīng)對(duì)安全挑戰(zhàn)。SOAR成為安全運(yùn)營(yíng)團(tuán)隊(duì)管理、分析和應(yīng)對(duì)告警及威脅的新方式。
威脅和告警數(shù)量不斷增長(zhǎng),資源又不足以應(yīng)對(duì)所有問題,在日常運(yùn)營(yíng)中,分析人員需要快速?zèng)Q定哪些告警需要處理,哪些可以忽略,但由于超負(fù)荷工作,很可能錯(cuò)過真正的威脅,在應(yīng)對(duì)威脅和惡意攻擊時(shí)出現(xiàn)誤判,最終使網(wǎng)絡(luò)及數(shù)據(jù)產(chǎn)生安全泄露,造成無可挽回的損失。
因此,系統(tǒng)化安全編排并通過自動(dòng)化響應(yīng),對(duì)于處理威脅告警的過程是至關(guān)重要的。通過過濾掉占用過多精力和資源的單調(diào)任務(wù),安全運(yùn)營(yíng)團(tuán)隊(duì)在處理和調(diào)查事件時(shí)更加有效和高效,從而能夠極大地改善整個(gè)網(wǎng)絡(luò)的安全狀況。
審核編輯 黃宇
-
DCS
+關(guān)注
關(guān)注
20文章
598瀏覽量
49889 -
管理平臺(tái)
+關(guān)注
關(guān)注
0文章
207瀏覽量
8842 -
智能安全
+關(guān)注
關(guān)注
0文章
30瀏覽量
7942
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論