當(dāng)前�����,由于企業(yè)的數(shù)字資產(chǎn)攻擊面不斷擴(kuò)大�����,以及數(shù)字化業(yè)務(wù)資產(chǎn)價(jià)值不斷提升�����,企業(yè)面臨的攻擊威脅也在不斷增加�����。為了應(yīng)對(duì)挑戰(zhàn)��,企業(yè)需要進(jìn)一步增強(qiáng)安全運(yùn)營(yíng)中心的自動(dòng)化水平��,提高消除安全威脅的速度和敏捷性���,同時(shí)減輕運(yùn)營(yíng)人員的工作壓力����。安全編排與自動(dòng)化響應(yīng)(SOAR)正是幫助企業(yè)實(shí)現(xiàn)安全運(yùn)營(yíng)自動(dòng)化的代表性技術(shù)之一���。
大量應(yīng)用實(shí)踐表明���,SOAR可以幫助企業(yè)安全運(yùn)營(yíng)中心實(shí)現(xiàn)以下方面的能力優(yōu)化:
安全能力編排
SOAR可以幫助安全運(yùn)營(yíng)中心實(shí)現(xiàn)各種異構(gòu)安全工具的銜接和工作協(xié)同��,從而提高獲取威脅���、運(yùn)營(yíng)監(jiān)控和識(shí)別事件的效率����。
自動(dòng)化
SOAR可以通過(guò)預(yù)定義的參數(shù)自動(dòng)觸發(fā)工作流程、任務(wù)和警報(bào)�,幫助企業(yè)安全運(yùn)營(yíng)中心實(shí)現(xiàn)更積極的主動(dòng)安全防護(hù)模式。
事件響應(yīng)
SOAR可以加快企業(yè)安全運(yùn)營(yíng)中心對(duì)中��、低風(fēng)險(xiǎn)事件進(jìn)行通用性和針對(duì)性的處置響應(yīng)����,并通過(guò)統(tǒng)一視圖方式來(lái)訪問(wèn)、查詢和共享威脅情報(bào)����,為安全分析師提供支持。
北信源SOAR
助力企業(yè)安全運(yùn)維響應(yīng)自動(dòng)化
北信源作為國(guó)內(nèi)信息安全領(lǐng)域領(lǐng)軍企業(yè)�����,憑借多年安全服務(wù)經(jīng)驗(yàn),研發(fā)了北信源安全編排與自動(dòng)化響應(yīng)系統(tǒng)(SOAR)安全產(chǎn)品�。通過(guò)連接企業(yè)各類現(xiàn)有安全設(shè)備、網(wǎng)絡(luò)設(shè)備�、辦公軟件、通信服務(wù)以及相關(guān)人員����,緩解企業(yè)安全專業(yè)人才不足、響應(yīng)效率要求高�����、重復(fù)工作冗雜等問(wèn)題��,幫助安全運(yùn)營(yíng)團(tuán)隊(duì)實(shí)現(xiàn)更高效��、更準(zhǔn)確的安全事件響應(yīng)和威脅管理���,有效降低安全風(fēng)險(xiǎn)和減少響應(yīng)時(shí)間���。
其強(qiáng)大功能主要體現(xiàn)在以下方面:
1 多源事件聚合
可對(duì)接各類事件檢測(cè)設(shè)備,包括但不限于威脅情報(bào)系統(tǒng)(TIP)��、防病毒系統(tǒng)(AV)��、終端安全檢測(cè)與響應(yīng)系統(tǒng)(EDR)、入侵檢測(cè)系統(tǒng)(IDS)��、身份與訪問(wèn)安全管理系統(tǒng)(IAM)����、安全信息與事件管理系統(tǒng)(SIEM)、態(tài)勢(shì)感知系統(tǒng)(CSA)等���,將各類安全事件告警統(tǒng)一匯入SOAR系統(tǒng)中,自動(dòng)合并重復(fù)告警��,減少管理員需要查看的告警數(shù)量�,并自動(dòng)轉(zhuǎn)化為不同等級(jí)和類型的案件,幫助管理員聚焦重要的事件告警����。
2 第三方能力調(diào)度
可整合各類安全處置設(shè)備,包括各類安全設(shè)備��、網(wǎng)絡(luò)設(shè)備����、辦公軟件和通信服務(wù)。當(dāng)處理事件和運(yùn)維任務(wù)時(shí)�����,在SOAR控制臺(tái)可調(diào)用相關(guān)設(shè)備對(duì)威脅進(jìn)行遏制、根除����、恢復(fù),給相關(guān)用戶發(fā)通知��,對(duì)系統(tǒng)進(jìn)行加固�����,生成內(nèi)生威脅情報(bào)等�,成為企業(yè)安全能力的統(tǒng)一調(diào)度中臺(tái)。
3 跨部門任務(wù)協(xié)作
在安全事件處置過(guò)程中�,可通過(guò)短信、郵件�����、即時(shí)通信等方式邀請(qǐng)相關(guān)人員進(jìn)行人工協(xié)作�。如某些危險(xiǎn)操作需要請(qǐng)示領(lǐng)導(dǎo)審批,某些信息收集需要人工填報(bào)匯總��,某些無(wú)法自動(dòng)化處置的任務(wù)需要相關(guān)人員線下處置等�����,實(shí)現(xiàn)跨部門的團(tuán)隊(duì)協(xié)作。
4 運(yùn)維/響應(yīng)自動(dòng)化
內(nèi)置劇本庫(kù)����,滿足安全運(yùn)營(yíng)團(tuán)隊(duì)安全運(yùn)維和事件響應(yīng)的通用自動(dòng)化處置需求。運(yùn)營(yíng)團(tuán)隊(duì)可根據(jù)需要��,通過(guò)可視化編排����,對(duì)劇本進(jìn)行剪裁和修改,甚至創(chuàng)建新劇本�,以適應(yīng)單位的個(gè)性化需求��。對(duì)于不同類型的案件�����,劇本可配置自啟動(dòng)��,對(duì)安全事件進(jìn)行自動(dòng)調(diào)查�����、自動(dòng)遏制、自動(dòng)根除�����、自動(dòng)恢復(fù)���,并在劇本執(zhí)行過(guò)程中請(qǐng)求人工干涉����。
5 統(tǒng)一案件處理
支持事件響應(yīng)和安全運(yùn)維全生命周期的管理�����??赏ㄟ^(guò)調(diào)用劇本、處置設(shè)備和人工協(xié)作處置案件����,滿足事件響應(yīng)各個(gè)階段的處置需求,可對(duì)事件展開自動(dòng)化的跟蹤��、調(diào)查�����、狩獵和通知,提高運(yùn)營(yíng)團(tuán)隊(duì)對(duì)安全事件的響應(yīng)效率���,減少應(yīng)對(duì)事件的平均響應(yīng)時(shí)間��。
6 運(yùn)營(yíng)成果可視化
可對(duì)北信源SOAR系統(tǒng)的運(yùn)營(yíng)成果進(jìn)行總結(jié)���,并以可視化的方式展示并導(dǎo)出,使安全部門負(fù)責(zé)人能夠及時(shí)了解運(yùn)營(yíng)現(xiàn)狀��,同時(shí)也為管理者向上級(jí)匯報(bào)提供素材���。
乘人工智能之翼
SOAR應(yīng)用場(chǎng)景創(chuàng)新升級(jí)
當(dāng)前�����,大語(yǔ)言模型的技術(shù)突破標(biāo)志著人工智能進(jìn)入了新的時(shí)代,也推進(jìn)了安全運(yùn)營(yíng)的產(chǎn)業(yè)升級(jí)��。北信源發(fā)揮人工智能的創(chuàng)造力開啟對(duì)話式智能安全運(yùn)營(yíng)的新方式�����,其中運(yùn)用到SOAR的場(chǎng)景如下:
當(dāng)北信源內(nèi)網(wǎng)安全管理系統(tǒng)(EPP)�����、主機(jī)安全檢測(cè)響應(yīng)系統(tǒng)(EDR)和數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)發(fā)現(xiàn)違規(guī)或受害終端時(shí),大語(yǔ)言模型可根據(jù)北信源SOAR系統(tǒng)現(xiàn)有劇本庫(kù)和安全運(yùn)營(yíng)人員的歷史處理行為����,通過(guò)“信源密信”安全即時(shí)通信平臺(tái)為運(yùn)營(yíng)者提供劇本選擇建議或創(chuàng)建新的劇本。運(yùn)營(yíng)者可根據(jù)大語(yǔ)言模型提供的劇本建議對(duì)事件進(jìn)行研判�����、調(diào)查���、狩獵���、響應(yīng),并在事后總結(jié)���,使大語(yǔ)言模型能夠不斷豐富事件處置經(jīng)驗(yàn)��。
目前�,眾多行業(yè)已逐漸將目光轉(zhuǎn)向安全運(yùn)營(yíng)����,如何大幅提升安全運(yùn)營(yíng)效率已成為當(dāng)前時(shí)代重要的課題���。北信源將持續(xù)發(fā)揮自身技術(shù)優(yōu)勢(shì)、不斷創(chuàng)新突破��,以SOAR結(jié)合更多安全層面�,整合更豐富、更智能的安全能力�����,進(jìn)一步提升對(duì)安全事件閉環(huán)處置的效率����,為企業(yè)整體安全運(yùn)營(yíng)工作提供可靠保障,保證核心業(yè)務(wù)的平穩(wěn)運(yùn)行����。
