权威的咨询机构Gartner在发布的2019年安全编排与自动化响应解决方案(SOAR)市场指南中指出,至2022年,拥有超过5人安全团队规模的企业中,将有超过三成的企业采用SOAR安全编排自动化响应方案。那么,让我们来一起探索下绿盟科技是如何通过其SOAR系统帮助企业在短短三分钟内完成安全编排及自动化响应的吧。
在企业传统的安全运维和事件处置流程中,一般会遵循以下的操作流程:
图:传统安全运维流程表
这个过程可能包含多个步骤,并且由不同的部门和角色参与。这样的流程往往效率低下,难以统一标准化。企业在安全运维过程中还常常面临以下挑战。
过多的安全事件告警信息淹没了真正有效的告警,导致安全事件无法及时处理。企业缺乏专业的安全分析和处置人员,使得安全分析经验难以固化。安全专家常常陷入重复的安置工作中,难以发挥其真正的价值。而传统安全响应处置的流程过长,又受到了人员和流程的制约。
企业在安全运营的发展和演变中提出了以下的改进需求:
提高信噪比——增加有效的高保真告警,使有限的安全专家资源能够专注于真正需要关注的风险和问题。
降低MTTR——固化安置流程,积累运营经验,持续运营,以不断降低响应处置时间。
绿盟ISOP智能安全运营平台已经集成了SOAR安全编排自动化响应功能。通过这个平台,企业可以轻松开启自动化安全编排响应之旅。
ISOP中的SOAR组件通过可视化编排将人员、安全技术和流程深度融合。通过固化的人工运维经验Playbook剧本构建了安全事件处置的工作流。当触发不同的安全设备执行响应动作时,可以实现自动化响应。案例管理则基于对安全事件上下文更全面的理解,帮助企业将复杂的事件响应过程和任务流转为一致、可重复、可度量的工作流。
企业可以利用SOAR组件中的案例功能来处理各种安全事件。通过可视化拖拽编排方式,企业可以快速创建案例及其对应的Playbook剧本。一旦案例被创建并启用,后续匹配的案例事件就可以通过自动化方式进行处置。
绿盟ISOP智能安全运营平台还支持一键封堵模块,该模块可以与大量的响应处置设备(如防火墙、ADS、UTS、IDS、WAF等)进行集成。通过SOAR模块的调用,这些设备可以实现在线即插即用。
自动化运维大屏可以从全局视角呈现企业的自动化响应处置概况,如自动响应运营效率、案例事件统计信息等。对于已知的案例事件,通过案例匹配触发机制,企业可以在三分钟内完成安全编排及自动化闭环响应流程。
将安全专家的经验固化成Playbook是实现已知攻击分析、研判、处置全流程自动化的关键。这样做可以将安全专家的精力从繁琐的日常工作来,使他们能够专注于需要高级安全技能的工作场景。
SOAR系统的精髓在于根据不同的威胁场景选择合适的研判策略和处置策略。Playbook正是这一精髓在企业攻防对抗中的核心价值体现。标准化运维流程是Playbook剧本固化的前提。
绿盟智能安全运营平台(ISOP)不仅支持安全威胁实时预警和资产及漏洞全生命周期管理,而且通过融合SOAR模块为企业安全运营提供了全新的模式。这种模式将人、技术、流程深度融合,将传统的人工监测、预警、分析、多部门流转响应处置转变为安全编排及自动化响应处置。
参考文档:Gartner 2019年发布的关于Security Orchestration, Automation and Response Solutions的市场指南。
