什么是SOAR?
安全编排与自动化响应(SOAR)的概念最早于2015年由Gartner提出,旨为一种能够整合各类安全数据,为安全运营团队提供报告、分析和管理能力的平台,主要提供安全事件响应、安全编排与自动化和威胁与脆弱性管理的运营能力。到了2017年,Gartner加入了威胁情报的管理,完善了企业对威胁的检测能力。而时至2019年,Gartner将安全运营中心(SOC)的概念也整合到其中,旨在通过整合SOAR提高运营中心的整体效率。
今天的SOAR整合威胁情报和编排响应,形成了安全运营中心对威胁的检测、评估、响应和总结的一体化运营体系:
现在已经有越来越多的SOAR厂商通过并购的方式将各类威胁检测能力和响应能力融入其中,也有些厂商正在尝试将SOAR用在非安全场景下。
企业对SOAR的需求愈演愈烈
随着黑色产业的日益成熟,网络攻击也变得日渐商业化,钓鱼即服务(Phishing-as-a-service)、分布式拒绝服务攻击即服务(DDOS-as-a-service)、勒索软件即服务(Ransomware-as-a-service)等黑产服务的兴起降低了网络攻击的门槛,使得越来越多的黑客加入其中。而近些年来,监管单位也在不断提高对企业的信息安全要求,随着公安部等保2.0的发布,以及对攻防演练越来越重视,使企业的安全团队面临着前所未有的挑战。而大多数企业对信息安全方面的投入仍较为匮乏,安全团队的管理者需要利用极其有限的人才队伍,提高运营效率,减少运营成本。
而安全编排与自动化响应技术,可以帮助企业在安全专业人员短缺的情况下,整合更多的安全能力,为安全运营降本增效。该技术可以将已有的安全设备和相关人员编入剧本,实现安全事件的自动化响应和安全运维的自动化执行。这样一方面加快了对安全事件的响应速度,帮助安全团队能够及时满足监管单位的报告要求;另一方面,减少了重复工作的人员投入,使安全团队能够更专注于管理而非运营。
北信源安全编排与自动化响应方案
北信源作为国内第一批信息安全厂商,凭借20多年安全服务经验,全新打造北信源安全编排与自动化响应系统(SOAR)安全产品。通过连接企业各类现有安全设备、网络设备、办公软件、通讯服务以及相关人员,缓解企业安全专业人才不足、响应效率要求高、重复工作冗杂等问题,帮助安全运营团队实现安全运维自动化和事件响应自动化。
1.多源事件聚合
可对接各类事件检测设备,包括但不限于威胁情报系统(TIP)、防病毒系统(AV)、终端安全检测与响应系统(EDR)、入侵检测系统(IDS)、身份与访问安全管理系统(IAM)、安全信息与事件管理系统(SIEM)、态势感知系统(CSA)等,将各类安全事件告警统一汇入SOAR系统中,自动合并重复告警,减少管理员需要查看的告警数量,并自动转化为不同等级和类型的案件,帮助管理员聚焦重要的事件告警。
2.第三方能力调度
可整合各类安全处置设备,包括各类安全设备、网络设备、办公软件和通讯服务。当处理事件和运维任务时,在SOAR控制台可调用相关设备对威胁进行遏制、根除、恢复,给相关用户发通知,对系统进行加固,生成内生威胁情报等,成为企业安全能力的统一调度中台。
3.跨部门任务协作
在安全事件处置过程中,可通过短信、邮件、即时通讯等方式邀请相关人员进行人工协作。如某些危险操作需要请示领导审批,某些信息收集需要人工填报汇总,某些无法自动化处置的任务需要相关人员线下处置,实现跨部门的团队协作。
4.运维/响应自动化
内置剧本库,满足安全运营团队安全运维和事件响应的通用自动化处置需求。运营团队可根据需要,通过可视化编排,对剧本进行剪裁和修改,甚至创建新剧本,以适应单位的个性化需求。对于不同类型的案件,剧本可配置自启动,对安全事件进行自动调查、自动遏制、自动根除、自动恢复,并在剧本执行过程中请求人工干涉。剧本支持配置安全场景,满足用户在日常、重保、演练等不同场景下不同的自动化运维和响应要求,并可快速在场景间切换。
5.统一案件处理
支持事件响应和安全运维全生命周期的管理。根据国家标准《信息技术 安全技术 信息安全事件管理 第一部分:事件管理原理》,事件发现后需要经过报告、评估、决策、响应和总结的步骤。北信源SOAR系统可通过调用剧本、处置设备和人工协作处置案件,满足事件响应各个阶段的处置需求,可对事件展开自动化的跟踪、调查、狩猎和通知,提高运营团队对安全事件的响应效率,减少应对事件的平均响应时间(MTTR)。对于日常安全运维,也可编辑运维剧本,减少运维场景下繁琐的重复性工作,减轻运营团队的运维工作。
6.运营成果可视化
可对北信源SOAR系统的运营成果进行总结,并以可视化的方式展示并导出。总结的内容包括事件趋势、响应效率、应用调用、人工绩效和运营成效,使安全部门负责人能够即时了解运营现状,同时也为管理者向上级汇报提供素材。
