关于我们
热线电话?/div>

互联网 养老

当前位置:主页 > 互联网 养老 >

细述安全运营为什么需要 SOAR ? 华容道走法

发布时间:2020-11-12

SOAR 是2019年安全市场上最炽热的词汇之一。特别是下半年以来,各大安全媒体以及各个厂商都开端频频地宣布SOAR概念相关的文章。在2019年12月举行的第四届的北向峰会上,SOAR也被参会者投票评选为重视度排名第二的要挟与安全行动,仅次于数据安全和办理。

SOAR为什么忽然这么炽热?很大程度上是因为2019年的HW运动。在为期挨近一个月的HW作业中,一切参加的甲方和乙方都为之绞尽脑汁,身心俱疲。再加上未来HW实战化,常态化的开展方向,每个参加方都有深深的焦虑感。怎么缓解这种焦虑?除了做厚实安全办理的每一项基本功以外,是否有什么新思路、新技能的开展可以协助到咱们?SOAR正是在这个方向上被寄予了期望。

纵观国际市场,SOAR也是近几年开展势头十分迅猛的一个细分安全方向,Startup公司如漫山遍野,其间的佼佼者Phantom Cyber以黑马姿势拿到了2016年RSA创新沙盒大赛第一名,并于2018年被Splunk以3.5亿美元收买。不只是Splunk,各大安全厂商从4年前就开端争相布局SOAR技能,这一点从近几年的SOAR并购事例可见一斑:

那么,究竟什么是SOAR?2015年Gartner初次提出了SOAR的概念,开始的界说是Security Operations, Analytics and Reporting,即安全运维剖析与陈述。在2017年Gartner对SOAR概念做了从头界说:Security Orchestration, Automation and Response, 即安全编列、主动化与呼应,这才是现在广泛重视的SOAR的概念。

Gartner对SOAR技能的描绘是:
“SOAR refers to technologies that enable organizations to collect inputs monitored by the security operations team. For example, alerts from SIEM and other security technologies, where incident analysis and triage can be performed, leverage a combination of human and machine power to help define,prioritize and drive standardized incident response activities according to a standard workflow. SOAR tools allow an organization to define incident analysis and response procedures in a digital workflow format.”


Gartner: Emerging Technology Analysis: SOAR Solutions, 2018

翻译为:“SOAR 指的是一种技能,它使企业搜集安全运营团队所重视的输入,比方说,源自 SIEM 和其他安全技能的告警。而且此安全技能可进行事情剖析与分类,归纳运用人类剖析师和计算机的处理才能来协助界说、排序和驱动按规范作业流程履行的安全事情呼应活动。企业可运用 SOAR 东西来数字化的界说事情剖析与呼应作业流程。”

这段描绘读起来十分拗口,了解起来也较为吃力。瀚思科技根据以往许多的以SIEM、态势感知项目为根底的安全运营实践经验,总结出来咱们所建议的SOAR的中心理念:

这张图以文字解读起来是:

在讲了SOAR的实质,SOAR是什么之后,咱们还要留意SOAR不是什么。许多时分在谈到SOAR时,咱们都把目光投向了可视化编列技能。但要留意的是,编列不是SOAR的意图,是手法。SOAR的意图,是服务于安全运营流程。第二,SOAR不是代替人,他是用来协助人尘垢功率,更快更好的,更规范化更主动化的履行处置与决议计划流程。

所以,咱们强调了屡次,SOAR是服务于安全运营的。那么什么是安全运营流程?安全运营流程为什么需求SOAR?

Gartner用OODA模型,来描绘一个典型的安全运营流程。OODA即Observe、Orient、Decide、Act。

OODA环看起来逻辑明晰,易于操作。但事实上,OODA环里的丰富化、调查取证,验证、履行安全策略改变等等,都是耗时耗力的作业。加上安全设备一直以来的误报问题发生的噪音,以及安全人员作业负荷重,资深从业人员缺少等原因,难以真实有用的推动OODA循环。更不必提在HW时段高强度的作业压力下,怎么可以有条有理的坚持一向的处置流程来处理每一个安全头绪。

这不是咱们独有的问题,这是全球安全界一起面临的问题。SOAR正是在这个布景下被提出,并被寄予期望。SOAR的中心,便是将安全流程或预案,即OODA循环的每一个实例,比方蠕虫迸发处理流程,挖矿病毒告警处理流程,疑似垂钓邮件处理流程等等,数字化办理起来构成Playbook。用主动化完结其间一切或许主动化的动作,无法主动的任然交由人来处理,经过可视化编列东西将人,技能和流程有机的结合起来,构成规范一致的,可重复的,更高效的安全运营流程。