“安全和运维两张皮、安全能力融合不充分、海量告警疲于应对、沟通靠吼操作靠手、制度流程空转……”某大型央企信息安全中心主管表示,当前安全运行存在五大痛点:人少事多、告警疲劳、响应太慢、知识流失、缺乏协作。安全运行亟需升级换代。
12月24日,奇安信在京正式发布新版安全编排与自动化响应产品(SOAR3.0),该产品基于自动化、智能化的网络安全检测和响应能力,以帮助政企机构打造落地可用的网络安全运行体系,安全处置效率提升十倍以上。
奇安信集团总裁吴云坤表示,SOAR不仅仅是一个产品,更是一个平台,代表一个新兴的领域,将安全、IT和人深度结合。利用体系化的方法,做到常态化运行,实现实战化攻防,为用户达到“三化六防”提供坚实的支撑。
安全运行迎来SOAR时代
近一个月来,业界接连曝出两次大规模的网络攻击:包括Fireeye武器库泄露事件和SolarWinds供应链攻击事件。显而易见的是,网络安全形势日趋严峻。从过去几年的攻防实战演习经验来看,政企机构在面临组织化、体系化的网络攻击时,依然显得力不从心。
大多数机构并没有建立起一个行之有效的安全运行体系。从发现威胁到处置威胁,需要消耗太多的人力成本和时间成本。
尤其是在响应环节。一方面是威胁处置需要不同的安全设备之间的协同联动,依靠人工操作耗时费力;另一方面是响应人员匮乏,技能水平受困于重复性劳动难以提升,而优秀的工程师的经验也难以形成标准化的流程和动作。
“SOAR并不单单是一款产品或者一个工具。”奇安信集团总裁吴云坤说,“从SOAR1.0时简单的系统模块,到SOAR2.0时自动化响应的工具再到今天奇安信即将发布的SOAR3.0,SOAR代表着安全运行的发展趋势。”
吴云坤强调,从“十三五”结尾到“十四五”的开篇,这推动了网络安全进入了另一个“元年”,标志正是实战化、常态化、体系化的安全运行在政企机构的落地,SOAR则是其中的关键。
Gartner数据显示,作为一个相对新的技术,自SOAR诞生起,就受到市场的广泛关注。预计到2023年,SOAR市场收入规模将达到5.5亿美元。
安全处置时长缩短至分钟级
SOAR大大提高的处置效率。奇安信在实践中发现,在重保时一键封禁IP场景下,对于少量的告警,人工处置要20分钟甚至更长,而利用SOAR仅需10~30秒,如果在告警量数以万计的条件下,依靠人工更加难以处置,而SOAR可以全量处置,时长仅在分钟级别。
在威胁情报比对和高危IP封堵环节,依靠人工每天只能处理部分IP,且每次处理都要半小时以上;依靠SOAR每个IP的研判与处置仅需不到10秒,且可以持续不断地去做,效率大大提升。
在生成安全事件报告环节,手工撰写需要4~8小时,SOAR一键导出仅需几秒钟,加上人工修订,合计时长可以控制到1小时内。
总体来看,SOAR能够将安全事件调查与响应操作的效率提高10倍以上;对于需要重复性持续性的操作,提升的效率更是数以百倍计。正因如此,SOAR受到了大型政企机构的欢迎。
六大特性实现网络安全常态化运行
据介绍,奇安信SOAR3.0以实战化为核心,能够帮助企业和组织将繁杂安全运行过程梳理为任务和剧本,把分散的安全工具与功能转化为可编程的应用和动作,并且借助编排和自动化技术,将团队、工具和流程的高度协同起来,覆盖安全运行的防护、检测、响应等各个环节。
据介绍,奇安信SOAR产品具有以下关键特性:
首先,安全能力编排化能够将客户分散的安全能力和响应的过程标准化,形成能随时调用的剧本库和应用库,实现团队、工具和流程的整合与协同联动,减少人工干预。
其次,安全流程自动化能够通过自动化告警处置、自动化剧本执行、自动化服务调用等功能,让安全能力自动化执行。
再次,告警响应智能化能够对海量告警信息进行智能分诊,从而自动触发编排好的流程,就像医院的分诊台。一方面告警分诊能够自动化地聚合告警信息,计算告警的可信度和处置优先级;另一方面,可针对告警信息进行补充调查分析,方便工程师进行下一步研判。
同时,案件管理全程化可帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并且不断积累该案件相关的痕迹物证(IOC)和攻击者的攻击战术等指标信息。
最后奇安信SOAR具备系统架构开放化的特点,采用开放可编程架构设计,内置工作流引擎和应用开发包,用户可自定义剧本、应用、自动响应触发条件和案件处置过程,无缝融入现有安全体系。
在上述五大核心能力的基础上,此次奇安信新版SOAR加入了协同作战室功能,不仅实现了安全工程师的实时沟通,还内置了大量编排好的自动化剧本和命令,实现了人机之间的协同处置,从而改变了“通讯基本靠吼,操作基本靠手”的局面,进一步提升了协同作战的效率。
奇安信SOAR产品负责人形象的将SOAR比喻为一位交响乐指挥大师,让各种安全产品构成的乐队各施所长,协作演奏出一曲曲优美的乐章。
Gartner调查发现,随着安全技术的发展,许多工具中已经存在 SOAR 或集成了SOAR模块,如SIEM等设备已经包含工作流自动化等相关功能。
作为国内网络安全领军企业,奇安信此次发布的新版SOAR既可独立部署,也可与SOC等设备联动部署,功能、性能更具优势,能够将安全团队、工具和流程真正整合起来。
同时,在重大活动网络安全保障期间,奇安信SOAR还可以帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验,全方位提升实战化、体系化、常态化安全运行水平。
声明:本文来自奇安信集团,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。