首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

干貨解讀 | 中國信通院安全所與安恒信息聯(lián)合發(fā)布“SOAR白皮書”

閱讀量：次

11月26日，2019年（第九屆）電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全年會在西安舉行,主論壇上中國信息通信研究院安全所和杭州安恒信息技術(shù)股份有限公司聯(lián)合發(fā)布了其在網(wǎng)絡(luò)安全先進技術(shù)領(lǐng)域的最新研究成果，《網(wǎng)絡(luò)安全先進技術(shù)與應(yīng)用發(fā)展系列白皮書——安全編排自動化與響應(yīng)（SOAR）》（以下簡稱：白皮書）。

中國信息通信研究院安全所所長魏亮與安恒信息高級副總裁黃健共同發(fā)布白皮書。

《網(wǎng)絡(luò)安全先進技術(shù)與應(yīng)用發(fā)展系列白皮書——安全編排自動化與響應(yīng)（SOAR）》全面闡述了SOAR的概念、內(nèi)涵和核心能力，分析了新形勢下網(wǎng)絡(luò)安全團隊面臨的挑戰(zhàn)，找到SOAR 滿足網(wǎng)絡(luò)安全需求的應(yīng)對之道。同時，白皮書還對國內(nèi)外領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)運用SOAR技術(shù)的優(yōu)秀案例進行介紹；對SOAR未來面對的機遇與挑戰(zhàn)給予展望。

一

SOAR的概念、內(nèi)涵及核心性能

SOAR的概念：2015年，Gartner首次提出SOAR概念，將其定義為一種對利用機器讀取的、有狀態(tài)的安全數(shù)據(jù)提供報告、分析和管理的能力資源，為整個運營安全團隊提供支持。2017年Gartner對SOAR進行了全新的概念升級，將SOAR定義為安全編排自動化與響應(yīng)（Security Orchestration Automation and Response, SOAR）；自2019年后，SOAR的發(fā)展路徑將由SOC優(yōu)化、威脅檢測和響應(yīng)、威脅調(diào)查和響應(yīng)以及威脅情報管理來驅(qū)動。

SOAR的內(nèi)涵：編排、自動化、響應(yīng)、案例管理、協(xié)同合作。

SOAR的核心能力：定制化、靈活化、聯(lián)動化。

二

新形勢下網(wǎng)絡(luò)安全團隊面臨的挑戰(zhàn)

1.安全事件和威脅風險劇增

近年來安全事件的數(shù)量不斷增加。2016年到2019年，漏洞數(shù)量呈直線上升的，截止2019年7月，2019年漏洞數(shù)量已經(jīng)超過2016年全年漏洞數(shù)量。從側(cè)面反映出安全團隊需要處理的安全事件正與日俱增。

2.人力不足且經(jīng)驗難以固化

安全事件增長的速度遠快于安全專家培養(yǎng)的速度；同時，網(wǎng)絡(luò)安全人才的經(jīng)驗難以固化傳承，大多數(shù)安全分析師對事件的分析都是基于經(jīng)驗，但經(jīng)驗共享性不強，沒有良好機制進行匯總。

3.設(shè)備孤立且技術(shù)整合度低

傳統(tǒng)安全防護手段包括防火墻、入侵檢測、日志審計、訪問控制等，部署量多、獨自為戰(zhàn)，并沒有統(tǒng)一的安排調(diào)度實現(xiàn)協(xié)同高效的目標。

4.安全保障政策法規(guī)要求高

如《中華人民共和國網(wǎng)絡(luò)安全法》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅檢測與處置辦法》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（等保2.0）、《通用數(shù)據(jù)保護條例》GDPR的法律法規(guī)的出臺，需要安全防護措施滿足大量合規(guī)要求。

三

SOAR的智能化應(yīng)對方案

針對以上四點挑戰(zhàn)，SOAR提出以下四種應(yīng)對方案：

1.集成化處理海量威脅情報

SOAR可集成化的處理海量威脅情報，通過豐富的威脅情報庫的集成包括IoC攻擊指標庫、安全事件庫、網(wǎng)絡(luò)資產(chǎn)庫、專家情報庫等對可以情報進行碰撞，快速定位安全事件，大大提高了威脅情報的識別率。

2.流程化釋放優(yōu)化勞動力

SOAR通過流程化的方式將解決方案自動生成事件進行調(diào)查，前期避免為了發(fā)現(xiàn)威脅而需投入的大量人力物力，中期簡化手動操作創(chuàng)建事件的繁瑣流程，后期能夠自動生成分析報告。

通過智能分析將事件中重復(fù)的、常規(guī)的部分交給機器完成，使分析師集中更多時間投入到調(diào)查和響應(yīng)事件而非將時間消耗在執(zhí)行調(diào)查所需的數(shù)據(jù)收集上。

3.自動化加強人機融合

SOAR技術(shù)將人工智能技術(shù)引入自動化編排之中，能夠通過人機結(jié)合，使人員、流程、技術(shù)無縫融合在一起。這一過程不單單是對劇本流程的整合，也是對安全技術(shù)和安全人員的整合，縮短了反應(yīng)時間。一方面，智能化編排能將經(jīng)驗最豐富的安全人員的知識和經(jīng)驗提煉為一個易于重復(fù)的過程；另一方面，智能化編排能將程序中繁雜簡單的工作轉(zhuǎn)移到機器上，不僅提高分析效率，也將分析師的經(jīng)歷集中于更有價值的活動中。

4.智能化滿足合規(guī)要求

面對新一輪的合規(guī)要求提高，SOAR技術(shù)通過豐富的模型編排、場景設(shè)置對邊界防護、垃圾郵件防范做出高效的發(fā)掘和應(yīng)對。智能化的模型編排、算法優(yōu)化使數(shù)據(jù)保護符合多場景的應(yīng)用。通過對網(wǎng)絡(luò)關(guān)鍵節(jié)點的檢測，內(nèi)外部攻擊的回連，AI引擎的驅(qū)動大大提升入侵檢測的能力。

四

行業(yè)最佳案例實踐之失陷終端的研判與處置

安恒AiLPHA大數(shù)據(jù)智能安全平臺將人工智能與SOAR結(jié)合，在醫(yī)療、教育、金融行業(yè)已經(jīng)取得很大成效。針對每一個主機建立流量行為基線，當主機被遠控木馬植入時，通過人工智能 RPCA-SST 算法濾除人為上網(wǎng)行為的噪聲，檢測出主機存在回連未知地址和數(shù)據(jù)泄露的特征，聯(lián)合EDR發(fā)現(xiàn)進程存在文件篡改行為，研判分析其為變種木馬，自動下發(fā)EDR文件隔離策略和防火墻流量阻斷策略，及時阻斷數(shù)據(jù)泄露風險。同時，調(diào)用Sherlock對木馬文件追蹤溯源，發(fā)現(xiàn)其通過釣魚郵件植入，辦公網(wǎng)中多個主機收到過同樣郵件。繼續(xù)聯(lián)動漏洞掃描器和EDR對相關(guān)資產(chǎn)進行檢測與響應(yīng)。最終將該新型變種木馬的文件hash、遠控域名、發(fā)件郵箱加入威脅情報庫，并將相關(guān)流量、日志和處置過程通過郵件通知安全管理員進一步應(yīng)急分析。這一完整的對失陷終端的響應(yīng)過程就是SOAR創(chuàng)建的劇本，體現(xiàn)了SOAR如何動態(tài)實現(xiàn)編排與自動化。

SOAR的機遇與挑戰(zhàn)?

作為2015年被提出的新概念，SOAR因為能在整個安全事件應(yīng)對周期發(fā)揮關(guān)鍵作用，在現(xiàn)實場景中解決了許多困擾安全團隊很久的難題，所以在可預(yù)見的未來，SOAR的市場將會持續(xù)增長。但與此同時SOAR因為其自身的局限性，也面臨著被成熟的大規(guī)模安全廠商吸納的挑戰(zhàn)，并且根據(jù)近年來的SOAR被收購的案例來看，這種安全生態(tài)演化和整合的趨勢明顯加強。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>