媒體報(bào)道

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

快來圍觀！四個(gè)問題帶你快速了解安全運(yùn)營新時(shí)代下的SOAR大生態(tài)

閱讀量：次

隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈，網(wǎng)絡(luò)安全單純進(jìn)行防范和阻止的策略已經(jīng)失效，必須更加注重檢測(cè)與響應(yīng)。企業(yè)和組織要在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集阻止、檢測(cè)、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。

在這樣的背景下，放眼國內(nèi)，更多的注意力集中到了新型檢測(cè)產(chǎn)品，尤其是未知威脅檢測(cè)領(lǐng)域。借助這些產(chǎn)品和技術(shù)，用戶獲得了更低的 MTTD（平均檢測(cè)時(shí)間），能夠更快更準(zhǔn)確地檢測(cè)出攻擊和入侵。但是，這些產(chǎn)品和技術(shù)大都沒有幫助用戶降低 MTTR（平均響應(yīng)時(shí)間）。事實(shí)上，對(duì)于用戶而言，更快地檢測(cè)出問題僅僅是第一步，如何快速地對(duì)問題進(jìn)行響應(yīng)更加重要，而這，正是 SOAR 要解決的問題。

Q: SOAR的“廬山真面目”是什么？

A: SOAR意為安全編排自動(dòng)化與響應(yīng)，是Security Orchestration Automation and Response的縮寫，從2015年Gartner首次提出SOAR概念，再到2017年Gartner對(duì)其進(jìn)行全新的概念升級(jí)，目前認(rèn)知的SOAR可匯聚多源安全數(shù)據(jù)，通過劇本編排的手段自動(dòng)化執(zhí)行多種安全響應(yīng)流程，從而大大降低安全事件MTTR（平均響應(yīng)時(shí)間)。

Q: SOAR的應(yīng)用現(xiàn)狀如何？

A:?智能技術(shù)的發(fā)展促使安全運(yùn)營逐漸從勞動(dòng)密集型行業(yè)轉(zhuǎn)向技術(shù)密集型行業(yè)，安全技術(shù)的防護(hù)內(nèi)容和防護(hù)手段都在不斷更新精進(jìn)，目前網(wǎng)絡(luò)安全工作的難點(diǎn)已經(jīng)不再是檢測(cè)，而是安全運(yùn)營。經(jīng)過幾年的發(fā)展，SOAR的概念及產(chǎn)品已經(jīng)趨于成熟，2021年SOAR市場(chǎng)將逐漸打開，Gartner2019年的市場(chǎng)調(diào)研報(bào)告顯示，到2022年底30%的5人以上安全團(tuán)隊(duì)都將考慮采用 SOAR 解決方案。

Q: SOAR還需在哪些方面改進(jìn)？

A: 安恒信息AiLPHA出品的NEXT SOAR不僅具備SOAR的三大核心技術(shù)能力：安全編排與自動(dòng)化、安全事件響應(yīng)平臺(tái)、威脅情報(bào)平臺(tái)，還前瞻性聯(lián)動(dòng)安全運(yùn)營中最重要的元素“人員”。這使得，NEXT SOAR讓日常安全運(yùn)營變得更加方便、快捷。NEXT SOAR工具中的“War Room”功能實(shí)現(xiàn)高效、靈活的人員管理，多地、多中心人員協(xié)同作戰(zhàn)。團(tuán)隊(duì)成員通過War Room功能實(shí)現(xiàn)在線溝通，協(xié)作下發(fā)安全響應(yīng)指令，無需來回切換界面即可實(shí)現(xiàn)安全事件全周期響應(yīng)，解決人員之間因?yàn)闇贤ú粫硨?dǎo)致的響應(yīng)不及時(shí)等問題。

除此之外，安恒信息NEXT SOAR還以安全能力中臺(tái)（DBAPPSecurity Capability API，簡(jiǎn)稱DASCA）為底座。面對(duì)眾多繁雜的安全設(shè)備，DASCA將企業(yè)能力統(tǒng)一抽象成標(biāo)準(zhǔn)化能力，以多種安全能力為基礎(chǔ)構(gòu)建安全能力中臺(tái)，幫助企業(yè)構(gòu)建系統(tǒng)化安全能力。DASCA也可為NEXT SOAR的自動(dòng)化提供動(dòng)力源，標(biāo)準(zhǔn)化程度越高，自動(dòng)化執(zhí)行能力就越強(qiáng)，有了安全能力中臺(tái)的支持，NEXT SOAR可以走的更遠(yuǎn)。

Q: SOAR在紅藍(lán)對(duì)抗中能做什么？

A: 每年的網(wǎng)絡(luò)安全應(yīng)急攻防演練活動(dòng)都備受關(guān)注，在傳統(tǒng)的安全運(yùn)營場(chǎng)景中，流程繁瑣、處置周期較長(zhǎng)，通常為幾天甚至更久。安全防守方會(huì)面臨各種突發(fā)性問題，譬如人員不能及時(shí)到位、賬號(hào)過期、密碼遺忘、產(chǎn)品操作不熟練，導(dǎo)致安全團(tuán)隊(duì)在應(yīng)急事件響應(yīng)的過程中很難對(duì)事件進(jìn)行預(yù)期的響應(yīng)處置。

以防火墻封禁為例，客戶需要進(jìn)行快速的攻擊研判阻斷，現(xiàn)場(chǎng)DMZ區(qū)部署了防火墻；客戶希望能夠針對(duì)外部的掃描探測(cè)類攻擊，一分鐘超過10次就自動(dòng)進(jìn)行防火墻封堵，并郵件通知客戶負(fù)責(zé)人，對(duì)于自動(dòng)化執(zhí)行的任務(wù)可以分析查看，便于活動(dòng)結(jié)束后的復(fù)盤總結(jié)。

上述動(dòng)作通過劇本方式可以在秒級(jí)內(nèi)完成，完全不依賴人工操作，提高響應(yīng)速度，實(shí)現(xiàn) 7x24 小時(shí)應(yīng)急響應(yīng)。

安恒信息NEXT SOAR通過智能靈活編排，把人、過程和技術(shù)整合起來，大幅提升安全運(yùn)營工作效率，將分析人員從耗時(shí)且繁冗的分析工作中解放出來。NEXT SOAR支持拖拽式交互設(shè)計(jì)、安全風(fēng)險(xiǎn)分析研判策略配置和聯(lián)動(dòng)響應(yīng)劇本、多種策略編排動(dòng)作，流程化完成事件管理，提高協(xié)作溝通效率。將響應(yīng)時(shí)間從小時(shí)甚至天降到秒級(jí)別。

目前，眾多行業(yè)已逐漸將目光轉(zhuǎn)向安全運(yùn)營，如何大幅提升安全運(yùn)營效率已經(jīng)成為當(dāng)前時(shí)代重要的課題。安全運(yùn)營新時(shí)代已到來，安恒信息NEXT SOAR聚力SOAR大生態(tài)，全力護(hù)航網(wǎng)絡(luò)安全運(yùn)營。

關(guān)閉

云安全>

態(tài)勢(shì)感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

>

>

新一代安全服務(wù)>

偵測(cè)服務(wù)>

保護(hù)檢測(cè)服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

>

數(shù)據(jù)安全>

基礎(chǔ)安全>