當前���,由于企業(yè)的數(shù)字資產攻擊面不斷擴大�,以及數(shù)字化業(yè)務資產價值不斷提升,企業(yè)面臨的攻擊威脅也在不斷增加���。為了應對挑戰(zhàn)��,企業(yè)需要進一步增強安全運營中心的自動化水平�,提高消除安全威脅的速度和敏捷性,同時減輕運營人員的工作壓力�。安全編排與自動化響應(SOAR)正是幫助企業(yè)實現(xiàn)安全運營自動化的代表性技術之一。
大量應用實踐表明���,SOAR可以幫助企業(yè)安全運營中心實現(xiàn)以下方面的能力優(yōu)化:
安全能力編排
SOAR可以幫助安全運營中心實現(xiàn)各種異構安全工具的銜接和工作協(xié)同��,從而提高獲取威脅����、運營監(jiān)控和識別事件的效率��。
自動化
SOAR可以通過預定義的參數(shù)自動觸發(fā)工作流程��、任務和警報�,幫助企業(yè)安全運營中心實現(xiàn)更積極的主動安全防護模式。
事件響應
SOAR可以加快企業(yè)安全運營中心對中����、低風險事件進行通用性和針對性的處置響應��,并通過統(tǒng)一視圖方式來訪問��、查詢和共享威脅情報�����,為安全分析師提供支持。
北信源SOAR
助力企業(yè)安全運維響應自動化
北信源作為國內信息安全領域領軍企業(yè)�,憑借多年安全服務經(jīng)驗,研發(fā)了北信源安全編排與自動化響應系統(tǒng)(SOAR)安全產品�。通過連接企業(yè)各類現(xiàn)有安全設備、網(wǎng)絡設備�、辦公軟件、通信服務以及相關人員���,緩解企業(yè)安全專業(yè)人才不足�����、響應效率要求高��、重復工作冗雜等問題�,幫助安全運營團隊實現(xiàn)更高效���、更準確的安全事件響應和威脅管理���,有效降低安全風險和減少響應時間。
其強大功能主要體現(xiàn)在以下方面:
1 多源事件聚合
可對接各類事件檢測設備,包括但不限于威脅情報系統(tǒng)(TIP)��、防病毒系統(tǒng)(AV)��、終端安全檢測與響應系統(tǒng)(EDR)���、入侵檢測系統(tǒng)(IDS)��、身份與訪問安全管理系統(tǒng)(IAM)���、安全信息與事件管理系統(tǒng)(SIEM)、態(tài)勢感知系統(tǒng)(CSA)等��,將各類安全事件告警統(tǒng)一匯入SOAR系統(tǒng)中���,自動合并重復告警�,減少管理員需要查看的告警數(shù)量�����,并自動轉化為不同等級和類型的案件���,幫助管理員聚焦重要的事件告警����。
2 第三方能力調度
可整合各類安全處置設備�,包括各類安全設備、網(wǎng)絡設備����、辦公軟件和通信服務。當處理事件和運維任務時���,在SOAR控制臺可調用相關設備對威脅進行遏制�、根除�����、恢復�,給相關用戶發(fā)通知,對系統(tǒng)進行加固����,生成內生威脅情報等,成為企業(yè)安全能力的統(tǒng)一調度中臺���。
3 跨部門任務協(xié)作
在安全事件處置過程中����,可通過短信、郵件���、即時通信等方式邀請相關人員進行人工協(xié)作��。如某些危險操作需要請示領導審批�,某些信息收集需要人工填報匯總����,某些無法自動化處置的任務需要相關人員線下處置等,實現(xiàn)跨部門的團隊協(xié)作���。
4 運維/響應自動化
內置劇本庫����,滿足安全運營團隊安全運維和事件響應的通用自動化處置需求�。運營團隊可根據(jù)需要,通過可視化編排�����,對劇本進行剪裁和修改�����,甚至創(chuàng)建新劇本,以適應單位的個性化需求��。對于不同類型的案件����,劇本可配置自啟動���,對安全事件進行自動調查�����、自動遏制�、自動根除�����、自動恢復����,并在劇本執(zhí)行過程中請求人工干涉。
5 統(tǒng)一案件處理
支持事件響應和安全運維全生命周期的管理��。可通過調用劇本��、處置設備和人工協(xié)作處置案件���,滿足事件響應各個階段的處置需求����,可對事件展開自動化的跟蹤��、調查�、狩獵和通知,提高運營團隊對安全事件的響應效率����,減少應對事件的平均響應時間。
6 運營成果可視化
可對北信源SOAR系統(tǒng)的運營成果進行總結�����,并以可視化的方式展示并導出�����,使安全部門負責人能夠及時了解運營現(xiàn)狀���,同時也為管理者向上級匯報提供素材�。
乘人工智能之翼
SOAR應用場景創(chuàng)新升級
當前,大語言模型的技術突破標志著人工智能進入了新的時代��,也推進了安全運營的產業(yè)升級�����。北信源發(fā)揮人工智能的創(chuàng)造力開啟對話式智能安全運營的新方式�����,其中運用到SOAR的場景如下:
當北信源內網(wǎng)安全管理系統(tǒng)(EPP)��、主機安全檢測響應系統(tǒng)(EDR)和數(shù)據(jù)泄露防護系統(tǒng)(DLP)發(fā)現(xiàn)違規(guī)或受害終端時����,大語言模型可根據(jù)北信源SOAR系統(tǒng)現(xiàn)有劇本庫和安全運營人員的歷史處理行為�,通過“信源密信”安全即時通信平臺為運營者提供劇本選擇建議或創(chuàng)建新的劇本。運營者可根據(jù)大語言模型提供的劇本建議對事件進行研判�、調查、狩獵��、響應����,并在事后總結�����,使大語言模型能夠不斷豐富事件處置經(jīng)驗����。
目前�,眾多行業(yè)已逐漸將目光轉向安全運營,如何大幅提升安全運營效率已成為當前時代重要的課題��。北信源將持續(xù)發(fā)揮自身技術優(yōu)勢�����、不斷創(chuàng)新突破��,以SOAR結合更多安全層面����,整合更豐富、更智能的安全能力�����,進一步提升對安全事件閉環(huán)處置的效率,為企業(yè)整體安全運營工作提供可靠保障����,保證核心業(yè)務的平穩(wěn)運行。
