首頁 > 關(guān)于我們 > 安恒動態(tài) > 2024 > 正文

安恒信息牽頭制定的行業(yè)標(biāo)準(zhǔn)《安全編排自動化響應(yīng)（SOAR）技術(shù)參考架構(gòu)》正式獲批發(fā)布

閱讀量：次 文章來源：安恒信息

安全編排自動化響應(yīng)（SOAR）技術(shù)參考架構(gòu)

近日，工業(yè)和信息化部公告（2024年第18號）批準(zhǔn)發(fā)布了多項行業(yè)標(biāo)準(zhǔn)，由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口，安恒信息牽頭制定的YD/T 4966-2024《安全編排自動化響應(yīng)（SOAR）技術(shù)參考架構(gòu)》發(fā)布，并將于10月1日正式實施。

隨著網(wǎng)絡(luò)安全建設(shè)進程的不斷深化，安全保障工作的重心正逐步從建設(shè)期向運營期轉(zhuǎn)移，但用戶現(xiàn)網(wǎng)環(huán)境中部署大量的基于單點工作機制的網(wǎng)絡(luò)安全產(chǎn)品，網(wǎng)絡(luò)安全技術(shù)之間的整合度低、聯(lián)動性不強，運營人員在工作中被迫不斷地在不同的工具之間來回手工切換，使得在應(yīng)對網(wǎng)絡(luò)安全事件時不能高效地處理事件，由此出現(xiàn)一系列的問題，如：安全設(shè)備系統(tǒng)孤立，資源浪費；海量告警無法處置，時效低下；分析經(jīng)驗難以固化，不利傳承；安全信息共享障礙，溝通不暢等等。

安全編排自動化響應(yīng)技術(shù)是一種為安全運營人員在其團隊中執(zhí)行某些任務(wù)的過程中提供機器協(xié)助的解決方案。在網(wǎng)絡(luò)安全策略的不斷演進優(yōu)化過程中，系統(tǒng)安全從簡單防范方法的組合向融合檢測、響應(yīng)、預(yù)防的全新安全防護體系轉(zhuǎn)變。SOAR技術(shù)可用于增強組織在面臨威脅時預(yù)測、防御、檢測和響應(yīng)等能力。在結(jié)合數(shù)據(jù)整合、能力集成和分析功能、AI人工智能和機器學(xué)習(xí)等新技術(shù)之后，SOAR技術(shù)開始具備智能編排能力，可以實現(xiàn)安全事件的自動化/半自動化響應(yīng)。未來在結(jié)合大模型技術(shù)后，將運營專家的決策能力與機器的高效處理能力深度融合，實現(xiàn)安全運營效能的指數(shù)提升。

在常態(tài)化的安全運營過程中，利用安全場景編排能力實現(xiàn)安全事件的快速智能響應(yīng)，基于大數(shù)據(jù)分析、威脅情報對威脅來源、影響范圍快速定位和精準(zhǔn)識別，以及7*24小時網(wǎng)絡(luò)威脅持續(xù)監(jiān)測能力的提升等應(yīng)用場景，SOAR技術(shù)得到廣泛和有效的應(yīng)用。

在SOAR技術(shù)廣泛應(yīng)用并極大提升安全保障和防護效能的過程中，對安全編排自動化響應(yīng)的技術(shù)架構(gòu)和主要環(huán)節(jié)的技術(shù)要求一直處于空白，亟需制定相應(yīng)技術(shù)標(biāo)準(zhǔn)，規(guī)范技術(shù)，擴大行業(yè)應(yīng)用范圍，提升產(chǎn)品的市場規(guī)模。

YD/T 4966-2024《安全編排自動化響應(yīng)（SOAR）技術(shù)參考架構(gòu)》提出的安全編排自動化響應(yīng)（SOAR）的技術(shù)參考架構(gòu)，如下圖所示：

安全編排自動化響應(yīng)參考架構(gòu)至少包括數(shù)據(jù)處理單元、響應(yīng)策略控制單元、編排策略控制單元、安全能力集成單元。

數(shù)據(jù)處理單元對接入的數(shù)據(jù)進行分析、處理，將非結(jié)構(gòu)化數(shù)據(jù)解析成SOAR內(nèi)部可流轉(zhuǎn)的結(jié)構(gòu)化數(shù)據(jù)；

響應(yīng)策略控制單元集中管理響應(yīng)策略配置參數(shù)，針對不同數(shù)據(jù)實現(xiàn)響應(yīng)策略規(guī)則制定、策略解析、策略執(zhí)行；

編排策略控制單元通過安全編排設(shè)計器對安全事件響應(yīng)流程中所需的安全能力接口、人工處理接口等資源進行管理，并實現(xiàn)編排策略的制定，通過工作流引擎實現(xiàn)編排策略的解析、執(zhí)行；

安全能力集成單元制定安全能力集成方式與接口對接方式，對安全資源池進行資源集成開發(fā)后的安全應(yīng)用程序以及安全能力接口進行集中管理。

YD/T 4966-2024《安全編排自動化響應(yīng)（SOAR）技術(shù)參考架構(gòu)》將有效指導(dǎo)安全編排自動化響應(yīng)（SOAR）的使用方、運營方、研發(fā)方和第三方測評機構(gòu)等對安全編排自動化響應(yīng)進行設(shè)計、開發(fā)、測試、運維。YD/T 4966-2024的發(fā)布實施，將為行業(yè)提供參考，將對安全編排自動化響應(yīng)技術(shù)的應(yīng)用及產(chǎn)品建設(shè)有重要的影響和對SOAR在國內(nèi)市場的推廣具有重大的意義。

安全編排自動化響應(yīng)產(chǎn)品

在網(wǎng)絡(luò)安全領(lǐng)域，安全編排自動化響應(yīng)的產(chǎn)品、平臺已經(jīng)較為豐富，有代表性的產(chǎn)品如安恒AiLPHA安全編排與協(xié)同響應(yīng)管理平臺。

安恒AiLPHA安全編排與協(xié)同響應(yīng)管理平臺是一款結(jié)合AI人工智能、機器學(xué)習(xí)技術(shù)與安全編排的產(chǎn)品，能夠從各種安全工具和系統(tǒng)中收集告警信息和整合安全能力，它能夠與態(tài)勢感知、資產(chǎn)管理系統(tǒng)、威脅情報平臺、漏洞管理系統(tǒng)等集成，從而實現(xiàn)全面的安全能力聯(lián)動；并通過智能編排來提高安全團隊的效率和響應(yīng)能力，幫助安全團隊減少手動操作的工作量，從而提高響應(yīng)速度和準(zhǔn)確性。與此同時，通過引入最前沿的大模型技術(shù)，學(xué)習(xí)和適應(yīng)新的威脅模式，提高對位置威脅的檢測能力。將運營專家的決策能力與機器的高效處理能力深度融合，實現(xiàn)網(wǎng)絡(luò)威脅可視化、防御主動化、響應(yīng)自動化、運營智能化的建設(shè)目標(biāo)，實現(xiàn)安全運營效能的指數(shù)提升。

安恒AiLPHA安全編排與協(xié)同響應(yīng)管理平臺在金融、企業(yè)、政府、運營商等多個領(lǐng)域部署，持續(xù)性網(wǎng)絡(luò)安全監(jiān)測防護應(yīng)用場景中，在每日精確告警1500+的壓力情況下，自動化處置率高達85%以上，實現(xiàn)大部分威脅的秒級處置；通過全局作戰(zhàn)室整合現(xiàn)場專家資源，實現(xiàn)非自動化響應(yīng)事件的標(biāo)準(zhǔn)化響應(yīng)流程，實現(xiàn)人工處置事件小于3分鐘，在采用YD/T 4966-2024相關(guān)技術(shù)架構(gòu)后，有效解決了資源整合弱、分析效率低、無標(biāo)準(zhǔn)流程等痛點問題。

安恒信息作為網(wǎng)絡(luò)安全行業(yè)中的重要力量，在為各行各業(yè)提供高質(zhì)量創(chuàng)新網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)的同時，多年來一直積極參與網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)的研究與制定工作。在行業(yè)標(biāo)準(zhǔn)YD/T 4966-2024的研制過程中，安恒信息與行業(yè)內(nèi)各相關(guān)單位一起，基于技術(shù)與應(yīng)用的最佳實踐，積極貢獻產(chǎn)業(yè)技術(shù)力量，用豐富的網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)經(jīng)驗去驗證、探討網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的科學(xué)性、合理性與可操作性，推動網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)標(biāo)準(zhǔn)化進程，為促進我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的高質(zhì)量發(fā)展貢獻力量。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>