企业动态

    近日，网络安全研究机构SANS发布了《2024年SOC调查报告》，该报告指出了企业组织SOC（安全运营中心）面临的前几大障碍，分别是缺乏自动化和编排、高人员配备需求、缺乏熟练员工、缺乏企业级的可见性等。

    该报告通过对来自科技、政府、网络安全和教育等行业的403名安全分析师、SOC分析师进行调查，以帮助SOC用户切实提升自身的运营水平。

    缺乏自动化和编排，成为SOC面临最大障碍

    针对组织SOC目前面临的最大障碍是什么的问题，调查发现，18.3%受访者选择了“缺乏自动化和编排”；紧随其后的两个答案是直接相关的——“高人员配备需求”（14.4%）和“缺乏熟练员工”（14.2%）。第四个常见的问题是“缺乏企业级的可见性”，占比12.9%。

    此外，其他挑战还包括安全、应急响应和运营人员间的孤岛思维、缺乏管理层支持、太多工具未能实现集成、缺乏上下文关联、警报疲劳、缺乏操作流程和指南以及合规要求等。

    报告认为，高人员配备和人手不足是紧密相连的。人员岗位职责要求高比人手不足更可怕，因为高要求意味着人手更难以补足。另一方面，岗位要求高也说明安全运营的难度大，复杂性高。这就进一步推动了“安全自动化”需求的增长。由此可见，随着技术的不断发展，以及威胁格局的持续演进，自动化成为组织的迫切需求。与此同时，与人才相关的问题仍在持续困扰各个组织。

    如何为SOC现状破局？

    根据百科定义，自动化（Automation）是指机器设备、系统或过程（生产、管理过程）在没有人或较少人的直接参与下，按照人的要求，经过自动检测、信息处理、分析判断、操纵控制，实现预期的目标的过程。

    可以看出，自动化是一个技术概念，它既可以成为攻击工具，也可以成为防守工具。尤其在近几年的实战攻防演习中，由于攻击队掌握了如Burpsuite、Metasploit等自动化渗透工具，可进行资产指纹收集、漏洞自动检测、利用以及获取权限等功能。同时攻击队还精心设计了专门接口，以加快攻击过程，实现了工具集成化、平台化，形成完整的自动化攻击链。这样就可以在攻击频度上实现了快速连续，在手段上形成组合拳，最终构成饱和式攻击，堪称无数挺“重机枪”同时开火，其火力密集可想而知。

    反观传统的安全防御模式，由于缺少平台化、集成化防御工具，导致安全运营严重依赖手工分析和处置，缺少可编排自动化处置能力，最终速度慢、效率低，在攻防对抗中往往疲于奔命、顾此失彼,导致安全运营人员压力激增，甚至陷入

    如何破解这种情况，解决组织SOC“缺乏自动化和编排”的普遍难题，奇安信安全专家提出的方案是：以SOAR安全编排自动化与响应系统为基础，通过和奇安信NGSOC（态势感知与安全运营平台）相结合，进行装备升级，实现安全能力集成化、平台化、自动化处置，构建真正的智慧型“安全能力中台”。

    该方案的核心，是将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起，有序处理多源数据，持续进行安全告警分诊与调查、案例处置、协同作战、事件响应，并最终实现高效安全运营。

    奇安信SOAR提效可达1000倍以上

    奇安信SOAR作为一款国内技术先进、功能完备、面向实战化安全运营的安全编排自动化与响应系统，能够帮助企业和组织将繁杂的安全运营（尤其是安全响应）过程梳理为任务和剧本，将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将团队、工具和流程高度协同起来。

    首先，奇安信SOAR具备灵活高效的剧本编排，并具有丰富的剧本场景库。其次，它还具备强大的设备对接能力，目前已内置140+种设备的对接和联动，并可灵活扩展。针对重保场景的协同作战，SOAR可以通过系统内置重保模块，支持IP批量封禁和白名单功能。此外，SOAR还实现了运行状态的密切监测，保障自身安全。

    事件驱动下的自动响应，是SOAR在网络安全运营最典型的场景之一。该场景核心是通过告警识别—>策略选择—>协同处置,依托SOAR的自动化优势，使其效率大幅度提升。以重保时的一键封禁IP为例，如果是少量IP，原有人工处置方式需要20分钟起，使用SOAR的处置方式，封禁加上人工确认时间，大约3分钟，SOAR的效率提升超过7倍。如果需要封禁大量IP，可以通过SOAR实现自动持续进行封禁，人工批量确认，SOAR的效率提升可达1000倍以上。

    结束语：

    《2024年SOC调查报告》指出，多年来，SOC分析师很容易出现严重的、令人心力交瘁的倦怠，这是因为无休止的手动警报流程、严重的警报疲劳以及大量消耗精力和动力的误报。而随着组织对一级诊断和分析的自动化程度不断提高，使SOC分析师能够专注于更具战略性和智力刺激的活动，如威胁狩猎和高级事件响应，这缓解了分析师的职业倦怠问题。

    作为连续两年被Gartner列入具有代表性的SOAR供应商之一，奇安信SOAR可以帮助客户全方位提升实战化、体系化、常态化安全运营水平，并帮助客户解决安全运营响应人员不足、安全事件响应不及时、运营维护工作重复、安全设备之间缺乏协同且联动性差等问题，助力广大政企机构筑牢数字化转型中的安全底座。