分享

北信源全新打造安全编排与自动化响应系统(SOAR)安全产品

Viviany 发表于 2022-12-20 09:20:55 [显示全部楼层] 只看大图 回帖奖励 阅读模式 关闭右栏 0 1044
什么是SOAR?

安全编排与自动化响应(SOAR)的概念最早于2015年由Gartner提出,旨为一种能够整合各类安全数据,为安全运营团队提供报告、分析和管理能力的平台,主要提供安全事件响应、安全编排与自动化和威胁与脆弱性管理的运营能力。到了2017年,Gartner加入了威胁情报的管理,完善了企业对威胁的检测能力。而时至2019年,Gartner将安全运营中心(SOC)的概念也整合到其中,旨在通过整合SOAR提高运营中心的整体效率。


1.png




今天的SOAR整合威胁情报和编排响应,形成了安全运营中心对威胁的检测、评估、响应和总结的一体化运营体系:

威胁检测:威胁信息的汇集与决策


择优处置:通过威胁的狩猎、调查和人工参与,评估威胁优先级


威胁响应:按工作流对威胁进行遏制、报告、恢复和根除


资产排优:总结和分析运营效益,重新评估保护资产的优先级



2.png

现在已经有越来越多的SOAR厂商通过并购的方式将各类威胁检测能力和响应能力融入其中,也有些厂商正在尝试将SOAR用在非安全场景下。



企业对SOAR的需求愈演愈烈



随着黑色产业的日益成熟,网络攻击也变得日渐商业化,钓鱼即服务(Phishing-as-a-service)、分布式拒绝服务攻击即服务(DDOS-as-a-service)、勒索软件即服务(Ransomware-as-a-service)等黑产服务的兴起降低了网络攻击的门槛,使得越来越多的黑客加入其中。而近些年来,监管单位也在不断提高对企业的信息安全要求,随着公安部等保2.0的发布,以及对攻防演练越来越重视,使企业的安全团队面临着前所未有的挑战。而大多数企业对信息安全方面的投入仍较为匮乏,安全团队的管理者需要利用极其有限的人才队伍,提高运营效率,减少运营成本。



而安全编排与自动化响应技术,可以帮助企业在安全专业人员短缺的情况下,整合更多的安全能力,为安全运营降本增效。该技术可以将已有的安全设备和相关人员编入剧本,实现安全事件的自动化响应和安全运维的自动化执行。这样一方面加快了对安全事件的响应速度,帮助安全团队能够及时满足监管单位的报告要求;另一方面,减少了重复工作的人员投入,使安全团队能够更专注于管理而非运营。



北信源安全编排 与自动化响应方案

北信源作为国内第一批信息安全厂商,凭借20多年安全服务经验,全新打造北信源安全编排与自动化响应系统(SOAR)安全产品。通过连接企业各类现有安全设备、网络设备、办公软件、通讯服务以及相关人员,缓解企业安全专业人才不足、响应效率要求高、重复工作冗杂等问题,帮助安全运营团队实现安全运维自动化和事件响应自动化。



3.png




1.多源事件聚合

可对接各类事件检测设备,包括但不限于威胁情报系统(TIP)、防病毒系统(AV)、终端安全检测与响应系统(EDR)、入侵检测系统(IDS)、身份与访问安全管理系统(IAM)、安全信息与事件管理系统(SIEM)、态势感知系统(CSA)等,将各类安全事件告警统一汇入SOAR系统中,自动合并重复告警,减少管理员需要查看的告警数量,并自动转化为不同等级和类型的案件,帮助管理员聚焦重要的事件告警。



2.第三方能力调度

可整合各类安全处置设备,包括各类安全设备、网络设备、办公软件和通讯服务。当处理事件和运维任务时,在SOAR控制台可调用相关设备对威胁进行遏制、根除、恢复,给相关用户发通知,对系统进行加固,生成内生威胁情报等,成为企业安全能力的统一调度中台。



3.跨部门任务协作

在安全事件处置过程中,可通过短信、邮件、即时通讯等方式邀请相关人员进行人工协作。如某些危险操作需要请示领导审批,某些信息收集需要人工填报汇总,某些无法自动化处置的任务需要相关人员线下处置,实现跨部门的团队协作。




4.运维/响应自动化

内置剧本库,满足安全运营团队安全运维和事件响应的通用自动化处置需求。运营团队可根据需要,通过可视化编排,对剧本进行剪裁和修改,甚至创建新剧本,以适应单位的个性化需求。对于不同类型的案件,剧本可配置自启动,对安全事件进行自动调查、自动遏制、自动根除、自动恢复,并在剧本执行过程中请求人工干涉。剧本支持配置安全场景,满足用户在日常、重保、演练等不同场景下不同的自动化运维和响应要求,并可快速在场景间切换。



5.统一案件处理

支持事件响应和安全运维全生命周期的管理。根据国家标准《信息技术 安全技术 信息安全事件管理 第一部分:事件管理原理》,事件发现后需要经过报告、评估、决策、响应和总结的步骤。北信源SOAR系统可通过调用剧本、处置设备和人工协作处置案件,满足事件响应各个阶段的处置需求,可对事件展开自动化的跟踪、调查、狩猎和通知,提高运营团队对安全事件的响应效率,减少应对事件的平均响应时间(MTTR)。对于日常安全运维,也可编辑运维剧本,减少运维场景下繁琐的重复性工作,减轻运营团队的运维工作。



6.运营成果可视化


可对北信源SOAR系统的运营成果进行总结,并以可视化的方式展示并导出。总结的内容包括事件趋势、响应效率、应用调用、人工绩效和运营成效,使安全部门负责人能够即时了解运营现状,同时也为管理者向上级汇报提供素材。


(文章来自北信源,如有违权请联系删除!)

版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系在线客服