媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

快來圍觀！四個問題帶你快速了解安全運(yùn)營新時代下的SOAR大生態(tài)

閱讀量：次

隨著網(wǎng)絡(luò)安全攻防對抗的日趨激烈，網(wǎng)絡(luò)安全單純進(jìn)行防范和阻止的策略已經(jīng)失效，必須更加注重檢測與響應(yīng)。企業(yè)和組織要在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集阻止、檢測、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。

在這樣的背景下，放眼國內(nèi)，更多的注意力集中到了新型檢測產(chǎn)品，尤其是未知威脅檢測領(lǐng)域。借助這些產(chǎn)品和技術(shù)，用戶獲得了更低的 MTTD（平均檢測時間），能夠更快更準(zhǔn)確地檢測出攻擊和入侵。但是，這些產(chǎn)品和技術(shù)大都沒有幫助用戶降低 MTTR（平均響應(yīng)時間）。事實(shí)上，對于用戶而言，更快地檢測出問題僅僅是第一步，如何快速地對問題進(jìn)行響應(yīng)更加重要，而這，正是 SOAR 要解決的問題。

Q: SOAR的“廬山真面目”是什么？

A: SOAR意為安全編排自動化與響應(yīng)，是Security Orchestration Automation and Response的縮寫，從2015年Gartner首次提出SOAR概念，再到2017年Gartner對其進(jìn)行全新的概念升級，目前認(rèn)知的SOAR可匯聚多源安全數(shù)據(jù)，通過劇本編排的手段自動化執(zhí)行多種安全響應(yīng)流程，從而大大降低安全事件MTTR（平均響應(yīng)時間)。

Q: SOAR的應(yīng)用現(xiàn)狀如何？

A:?智能技術(shù)的發(fā)展促使安全運(yùn)營逐漸從勞動密集型行業(yè)轉(zhuǎn)向技術(shù)密集型行業(yè)，安全技術(shù)的防護(hù)內(nèi)容和防護(hù)手段都在不斷更新精進(jìn)，目前網(wǎng)絡(luò)安全工作的難點(diǎn)已經(jīng)不再是檢測，而是安全運(yùn)營。經(jīng)過幾年的發(fā)展，SOAR的概念及產(chǎn)品已經(jīng)趨于成熟，2021年SOAR市場將逐漸打開，Gartner2019年的市場調(diào)研報告顯示，到2022年底30%的5人以上安全團(tuán)隊(duì)都將考慮采用 SOAR 解決方案。

Q: SOAR還需在哪些方面改進(jìn)？

A: 安恒信息AiLPHA出品的NEXT SOAR不僅具備SOAR的三大核心技術(shù)能力：安全編排與自動化、安全事件響應(yīng)平臺、威脅情報平臺，還前瞻性聯(lián)動安全運(yùn)營中最重要的元素“人員”。這使得，NEXT SOAR讓日常安全運(yùn)營變得更加方便、快捷。NEXT SOAR工具中的“War Room”功能實(shí)現(xiàn)高效、靈活的人員管理，多地、多中心人員協(xié)同作戰(zhàn)。團(tuán)隊(duì)成員通過War Room功能實(shí)現(xiàn)在線溝通，協(xié)作下發(fā)安全響應(yīng)指令，無需來回切換界面即可實(shí)現(xiàn)安全事件全周期響應(yīng)，解決人員之間因?yàn)闇贤ú粫硨?dǎo)致的響應(yīng)不及時等問題。

除此之外，安恒信息NEXT SOAR還以安全能力中臺（DBAPPSecurity Capability API，簡稱DASCA）為底座。面對眾多繁雜的安全設(shè)備，DASCA將企業(yè)能力統(tǒng)一抽象成標(biāo)準(zhǔn)化能力，以多種安全能力為基礎(chǔ)構(gòu)建安全能力中臺，幫助企業(yè)構(gòu)建系統(tǒng)化安全能力。DASCA也可為NEXT SOAR的自動化提供動力源，標(biāo)準(zhǔn)化程度越高，自動化執(zhí)行能力就越強(qiáng)，有了安全能力中臺的支持，NEXT SOAR可以走的更遠(yuǎn)。

Q: SOAR在紅藍(lán)對抗中能做什么？

A: 每年的網(wǎng)絡(luò)安全應(yīng)急攻防演練活動都備受關(guān)注，在傳統(tǒng)的安全運(yùn)營場景中，流程繁瑣、處置周期較長，通常為幾天甚至更久。安全防守方會面臨各種突發(fā)性問題，譬如人員不能及時到位、賬號過期、密碼遺忘、產(chǎn)品操作不熟練，導(dǎo)致安全團(tuán)隊(duì)在應(yīng)急事件響應(yīng)的過程中很難對事件進(jìn)行預(yù)期的響應(yīng)處置。

以防火墻封禁為例，客戶需要進(jìn)行快速的攻擊研判阻斷，現(xiàn)場DMZ區(qū)部署了防火墻；客戶希望能夠針對外部的掃描探測類攻擊，一分鐘超過10次就自動進(jìn)行防火墻封堵，并郵件通知客戶負(fù)責(zé)人，對于自動化執(zhí)行的任務(wù)可以分析查看，便于活動結(jié)束后的復(fù)盤總結(jié)。

上述動作通過劇本方式可以在秒級內(nèi)完成，完全不依賴人工操作，提高響應(yīng)速度，實(shí)現(xiàn) 7x24 小時應(yīng)急響應(yīng)。

安恒信息NEXT SOAR通過智能靈活編排，把人、過程和技術(shù)整合起來，大幅提升安全運(yùn)營工作效率，將分析人員從耗時且繁冗的分析工作中解放出來。NEXT SOAR支持拖拽式交互設(shè)計、安全風(fēng)險分析研判策略配置和聯(lián)動響應(yīng)劇本、多種策略編排動作，流程化完成事件管理，提高協(xié)作溝通效率。將響應(yīng)時間從小時甚至天降到秒級別。

目前，眾多行業(yè)已逐漸將目光轉(zhuǎn)向安全運(yùn)營，如何大幅提升安全運(yùn)營效率已經(jīng)成為當(dāng)前時代重要的課題。安全運(yùn)營新時代已到來，安恒信息NEXT SOAR聚力SOAR大生態(tài)，全力護(hù)航網(wǎng)絡(luò)安全運(yùn)營。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>