大发时时彩注册_大发时时彩官网_大发时时彩


大发时时彩网址:细述安全运营为什么需要 SOAR ?

SOAR 是2019年安全市场上最火热的词汇之一。特别是下半年以来,各大安全媒体以及各个厂商都开始频繁地发表SOAR概念相关的文章。在2019年12月举办的第四届的北向峰会上,SOAR也被参会者投票评选为关注度排名第二的威胁与安全举措,仅次于数据安全和治理。

SOAR为什么突然这么火热?很大程度上是因为2019年的HW运动。在为期接近一个月的HW工作中,所有参与的甲方和乙方都为之殚精竭虑,身心俱疲。再加上未来HW实战化,常态化的发展方向,每个参与方都有深深的焦虑感。如何缓解这种焦虑?除了做扎实安全治理的每一项基本功以外,是否有什么新思路、新技术的发展能够帮助到大家?SOAR正是在这个方向上被寄予了厚望。

纵观国际市场,SOAR也是近几年发展势头非常迅猛的一个细分安全方向,Startup公司如雨后春笋,其中的佼佼者Phantom Cyber以黑马姿态拿到了2016年RSA创新沙盒大赛第一名,并于2018年被Splunk以3.5亿美元收购。不只是Splunk,各大安全厂商从4年前就开始争相布局SOAR技术,这一点从近几年的SOAR并购案例可见一斑:

那么,到底什么是SOAR?2015年Gartner首次提出了SOAR的概念,最初的定义是Security Operations, Analytics and Reporting,即安全运维分析与报告。在2017年Gartner对SOAR概念做了重新定义:Security Orchestration, Automation and Response, 即安全编排、自动化与响应,这才是现在广泛关注的SOAR的概念。

Gartner对SOAR技术的描述是:
“SOAR refers to technologies that enable organizations to collect inputs monitored by the security operations team. For example, alerts from SIEM and other security technologies, where incident analysis and triage can be performed, leverage a combination of human and machine power to help define,prioritize and drive standardized incident response activities according to a standard workflow. SOAR tools allow an organization to define incident analysis and response procedures in a digital workflow format.”

—Gartner: Emerging Technology Analysis: SOAR Solutions, 2018

翻译为:“SOAR 指的是一种技术,它使企业收集安全运营团队所关注的输入,比如说,源自 SIEM 和其他安全技术的告警。并且此安全技术可进行事件分析与分类,综合运用人类分析师和计算机的处理能力来帮助定义、排序和驱动按标准工作流程执行的安全事件响应活动。企业可使用 SOAR 工具来数字化的定义事件分析与响应工作流程。”

这段描述读起来非常拗口,理解起来也颇为费力。瀚思科技基于以往大量的以SIEM、态势感知项目为基础的安全运营实践经验,总结出来我们所主张的SOAR的核心理念:

这张图以文字解读起来是:

  • 使用编排技术将企业的安全运营流程数字化管理
  • 编排的元素包含了人工操作自动化执行两部分,编排的结果是一系列的Playbook(预案)。Playbook执行中可以使用类似工单的技术驱动责任人与状态的流转,执行结果可以保存为知识库、案例库
  • 其中的人工操作包括但不限于:安全事件的鉴别、调查取证、响应处置、判断决策
  • 其中的自动化执行包括但不限于:通过与外部设备/系统的集成,自动化完成安全事件上下文丰富化、持续追踪、联动处置

在讲了SOAR的本质,SOAR是什么之后,我们还要注意SOAR不是什么。很多时候在谈到SOAR时,我们都把目光投向了可视化编排技术。但要注意的是,编排不是SOAR的目的,是手段。SOAR的目的,是服务于安全运营流程。第二,SOAR不是代替人,他是用来帮助人提升效率,更快更好的,更标准化更自动化的执行处置与决策流程。

所以,我们强调了多次,SOAR是服务于安全运营的。那么什么是安全运营流程?安全运营流程为什么需要SOAR?

Gartner用OODA模型,来描绘一个典型的安全运营流程。OODA即Observe(观察)、Orient(调整)、Decide(决策)、Act(行动)。

  • 观察:即通过各种检测、分析工具,比如SIEM类工具,找到威胁线索,如告警。
  • 调整:即对产生的告警的内容做调查、丰富化。比如查找外网域名的威胁情报,查找此IP的历史行为协助研判等等。
  • 决策:即判定是否需要对此告警采取行动,比如是否需要封禁,是否影响业务,是否需要进一步观察。
  • 行动:即执行确定的安全策略,并验证。每一步都对下一步提供了指导,周而复始,构成了一个良性促进的进化循环,不断优化企业的安全运营流程以应对不断变化的安全威胁。

OODA环看起来逻辑清晰,易于操作。但事实上,OODA环里的丰富化、调查取证,验证、执行安全策略变更等等,都是耗时耗力的工作。加上安全设备一直以来的误报问题产生的噪音,以及安全人员工作负荷重,资深从业人员短缺等原因,难以真正有效的推进OODA循环。更不用提在HW时段高强度的工作压力下,如何能够有条不紊的保持一贯的处置流程来处理每一个安全线索。

这不是我们独有的问题,这是全球安全界共同面对的问题。SOAR正是在这个背景下被提出,并被寄予厚望。SOAR的核心,就是将安全流程或预案,即OODA循环的每一个实例,比如蠕虫爆发处理流程,挖矿病毒告警处理流程,疑似钓鱼邮件处理流程等等,数字化管理起来形成Playbook。用自动化完成其中所有可能自动化的动作,无法自动的任然交由人来处理,通过可视化编排工具将人,技术和流程有机的结合起来,形成标准统一的,可重复的,更高效的安全运营流程。

于此之上,SOAR所能带来的价值有:

  • 缩短响应时间:通过自动化技术,尽可能多的自动完成一个安全事件处置流程中相关步骤,从而缩短响应时间即MTTR。
  • 释放人力:让安全专家从繁重的重复劳动中释放出来,将时间放在更有价值的安全分析,威胁猎捕,流程建立等工作上。
  • 安全运营流程标准化:将公司的安全运营流程数字化管理起来,每一次安全事件的对应处置过程都在统一标准,统一步骤下执行,有迹可循。避免人员能力的差距导致的处置实际效果不可控。
  • 避免能力断层:将安全专家的经验固化成处置预案Playbook,让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程,避免因为个人的离职导致某个领域的安全能力缺失。
  • 运营流程指标可度量:因为运营流程都通过Playbook数字化管理且每一次的执行过程都记录在案,因此流程的KPI如MTTD、MTTR、TTQ、TTI等全部可评估,可度量,可追踪。
  • 安全运营决策支撑:通过对公司的所有运营流程数字化管理、数字化执行、数字化KPI评估后,管理者可以有效的评估什么流程基本无用,什么流程执行效率不高,什么流程发挥了最大的作用,甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策,安全团队建设决策提供有价值的数值化支撑。

“如果说SIEM/态势感知将企业的整个安全栈以数据的方式完整集成起来,那么SOAR则是将企业的整个安全栈以流程与API的方式完整的集成了起来。”

到这里,我们将SOAR的概念和价值做了解读。在未来的一段时间,我们将通过多篇后续文章,将SOAR的技术、能力、案例以及落地分别加以介绍。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   
除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自IT经理网
相关文章:
标签: ,


关于作者

瀚思科技研发副总裁,负责瀚思核心业务研发,知名大数据技术架构以及大规模SaaS服务架构专家,拥有2项美国专利,曾带领团队在AWS平台构建SaaS安全网关,直接与美国Zscaler竞争。

写评论

忘记密码

X
返回首页