近日,奇安信&Gartner最新白皮书《安全运行迎来SOAR时代》(下文简称《白皮书》)正式发布。
《白皮书》显示,随着网络空间安全对抗的持续升级,当前企业和组织的安全运行工作在人员组织、告警处置、快速响应、知识沉淀、整合协作五个方面面临的挑战越来越突出,安全运行呈现安全能力编排化、安全流程自动化、安全运行臂闭环化的趋势。为了应对这些挑战,安全编排自动化与响应(SOAR)应运而生,安全运行迎来SOAR时代。
安全运行面临挑战
(网络空间)安全运行是一系列操作级别的日常安全活动的统称,它是一个整合相关的流程、技术、人员和服务,对企业和组织中网络空间资产的安全要素信息(资产、弱点、威胁、风险、情报等)进行持续地感知、监测、预警、告警、分析和响应、恢复,并不断优化的过程,是安全保障体系的重要组成部分,是安全管理的基础支撑。
安全管理工作能否落实到位关键在于日常安全运行工作的成效。
为了实现有效的安全运行,虽然企业和组织进行了大量的投入,但随着网络空间安全形势日趋恶化,现有的安全运行依然面临诸多挑战:
⒈安全运行人员紧缺且仅技能不足。
⒉告警多,处理效率低。
⒊安全检测、响应与修复的时间长。
⒋知识难以转化。
进一步探寻内在的原因,可以将当前安全运行面临的问题归结为以下几点:
⒈碎片化现象严重,工作存在大量断点,效率难以提升。
⒉有效的安全运行流程要么缺乏,要么难以顺畅高效地将人和工具连接起来。
⒊工具的人机交互体验感差,工具之间缺乏整合。
综上所述,企业和组织急需一套真正整合人员、流程和工具的安全运行平台。
安全运行三大趋势
随着网络空间安全对抗的持续升级,当前企业和组织的安全运行工作在人员组织、告警处置、快速响应、知识沉淀、整合协作五个方面面临的挑战越来越突出。为了应对这些挑战,新的思路和技术不断涌现,凸显了未来安全运行发展的三个新趋势。
趋势一:安全能力编排化
为应对层出不穷的安全威胁,安全能力编排化已经成为未来安全运行的重要趋势。借助安全编排技术,可以对安全运行流程进行形式化地描述,并映射到安全能力以及安全运行参与者上,促成人与人、人与工具、工具与工具之间的有机协作,同时也促成安全运行流程的知识转化。
趋势二:安全流程自动化
从运行视角出发,基于端到端的安全运行流程自动化是建立在当前分散的安全技术自动化基础之上的,表现为安全流程自动化与安全流程编排化相互结合。
趋势三:安全运行闭环化
不论是经典的防护、检测与响应(俗称PDR)体系,还是NIST的网络安全框架(CSF)定义的IPDRR六阶段,都将闭环化视为一个基本的安全架构设计原则。可以预见,安全运行的未来重要趋势之一是增加对安全响应的投入,而安全编排与自动化将首先应用于安全响应。
SOAR应运而生
为了应对安全运行面临的挑战,顺应安全运行未来发展的新趋势,SOAR(Security Orchestration, Automation and Response,安全编排自动化与响应)应运而生
Gartner将SOAR定义为“一种从各种来源获取输入,并应用工作流来处理各种安全过程与规程,从而为安全运行人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果,譬如分诊管理,事件响应,威胁情报,合规性管理和威胁猎捕”。
奇安信SOAR
奇安信SOAR是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起的,有序处理多源数据,持续进行安全告警分诊与调查、案例处置、协同作战、事件响应,并最终实现高效、有效安全运营的智能协作系统。
奇安信SOAR具有以下显著特征:
• 面向SecOps,以高效、有效为目标;
• 以编排和自动化为核心;
• 智能化协作运行系统;
• 关键功能包括安全告警分诊与调查、案例管理、作战室、事件响应、剧本与应用管理;
• 实现了团队、工具和流程的无缝整合。
系统功能架构
奇安信SOAR的功能架构如下图所示:
图 奇安信SOAR功能架构
系统功能总体上分为6个部分,分别是:安全编排与自动化、告警管理、案例管理、作战室、运营绩效管理和工单管理。
其中:
安全编排与自动化功能是系统的核心功能,实现了安全能力的集成、安全流程的编排与自动化执行,包括剧本管理、编排器和应用管理功能;
作战室功能则提供了一套面向安全运营人员的协同化响应处置工具,整合应用、剧本和应对措施,针对重要案例,以聊天运营的方式进行实时沟通与响应处置,促进团队协作、贴近实战,并能生成作战报告,便于复盘和总结提升。
系统用户视图
从用户视角来看,系统包括了5种使用者,分别是:流程设计与剧本编制人员、应用开发人员、运维人员、协作团队、安全领导。
其中:
流程设计与剧本编制人员负责将传统的安全运行流程和规程转换为SOAR平台可识别的编排化剧本和任务;
协作团队指与企业和组织安全运行团队在安全运行过程中的利益共担方。
图 奇安信SOAR用户视图
奇安信SOAR的关键能力
奇安信SOAR具备区别于其它同类产品的5大关键能力——安全能力编排化、安全流程自动化、告警响应智能化、案件管理全程化、系统架构开放化。
1)安全能力编排化
安全能力编排化(Orchestration)是指系统一方面可以通过自底向上地通过安全设备接口化和安全接口应用化实现安全应用编排化;另一方面则自顶向下地将安全运行团队的安全运行过程和规程进行形式化落地,实现运行过程的剧本化。最后,借助运行过程剧本化和安全应用编排化,实现安全能力的集成与编排,并为安全流程的自动化执行奠定基础。
通过安全能力编排化,真正实现了将不同的设备和系统协同联动起来的目标,就像一个交响乐队的指挥。
2)安全流程自动化
安全流程自动化(Automation)是指安全运行流程与规程尽可能地自动化执行,从而大大提升安全流程的执行效率,并确保能够持续达成预期的效果。
奇安信SOAR的安全流程自动化包括:自动化告警分诊、自动化安全响应、自动化剧本执行、自动化应用执行、自动化案件处置、自动化服务调用。
3)告警响应智能化
对来自企业和组织的各种告警信息进行基于编排与自动化的响应是SOAR的基本能力。此外,系统还提供了智能化告警响应的能力,进一步提升了告警响应的精准度和有效性。
奇安信SOAR的告警响应智能化体现在智能告警分诊、智能告警调查和智能告警响应三个方面。
4)案例管理全程化
案例管理(Case Management,也称作案件管理)是指一组人针对一系列相关的安全事件按照预先设定的规程,进行专门地持续调查与响应的协作过程,以及这个过程中产生的各种情境数据与痕迹物证的管理,还有过程本身的全生命周期活动记录。
奇安信SOAR具有完整的案件管理功能,实现了基于案件的全生命周期响应处置,编排化案件协同调查分析与痕迹管理,案件处理全过程记录与复盘,以及团队协作的实时作战室。
5)系统架构开放化
作为一个对企业和组织现有以及未来可能具有的安全能力进行集成和编排的系统,其自身的系统架构开放性至关重要。只有开放性的系统架构才能确保企业和组织安全编排与自动化的需求能够持续得到满足。
奇安信SOAR产品在系统架构层面采用了开放可扩展的应用集成框架,基于API的双向集成、支持多种协议接口、支持OpenC2,提供开放的对外接口。
结论
借助安全编排与自动化解决方案,能够帮助企业和组织将繁杂的安全运行(尤其是安全响应)过程梳理为任务和剧本,将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将团队、工具和流程的高度协同起来,从而有力支撑起实战化安全运行能力的建设。
SOAR重点帮助企业和组织解决安全运行响应人员匮乏、安全告警多、安全事件响应不及时、重复性运维工作多、安全设备之间缺乏协同且联动性差等导致安全运行人员工作压力大、运行效率低下、运行效果难以度量的问题。
以编排为核心,充分地使用自动化技术手段,将人、技术和流程协同起来,并应用到防护、检测与响应的每个环节,实现闭环,提升效率,是未来安全运行能力的关键组成部分。
安全运行正迎来SOAR时代,你准备好了吗?
立即拨打
京公网安备11000002002064号