在RSAC 2020期間,奇安信基于豐富的實戰化安全運營能力,在國內主流安全廠商中率先發布安全編排自動化與響應(SOAR)產品,幫助客戶大幅提升安全檢測和響應的效率,實現安全運營從“手動擋”的時代邁向“自動擋”時代。
SOAR是新一代安全運營中心的必要能力
奇安信安全專家表示,新一代安全運營中心一直都強調安全運營過程的閉環,從自適應安全架構的角度來看,新一代安全運營中心要對防護、檢測、響應和預測四個階段進行持續的監測與評估,要確保能夠持續及時地發現問題,并處理問題。
近些年來,人們對檢測技術十分重視,包括新一代安全運營平臺在內的各類平臺系統都極大地增強了其檢測能力。借助新型檢測產品和技術,用戶獲得了更低的MTTD(平均檢測時間),能夠更快更準確地檢測出攻擊和入侵。不過,更快地檢測出問題僅僅是第一步,如何快速地針對這些威脅進行響應處置,降低MTTR(平均響應時間)的重要性就更加凸顯,而這也是新一代安全運營中心系統必須面對的問題。
在響應環節,安全運維與響應人員面臨的挑戰巨大。一方面是響應過程涉及到大量分散的設備和系統,但威脅處置需要不同的安全設備之間的協同聯動,依靠人工操作耗時費力;另一方面是響應人員匱乏,技能水平受困于重復性勞動難以提升,而優秀的運維響應工程師的經驗也難以形成標準化的流程和動作,從而限制了整體的響應和處置效率。
SOAR正是順應這個趨勢發展出來的一組新的安全能力的統稱,旨在快速檢測威脅、減少安全人工分析投入、做到快速響應,以提高安全運營的效率。
通過在安全運營中心實現SOAR,不僅可以完善安全運營中心的安全響應的能力,尤其是編排和自動化能力,以及響應管理能力,并且能在整體上提升安全運營中心的效能,包括安全事件調查分析(含MTTD)的速度、安全響應(MTTR)的速度、將分散的安全系統整合的能力,以及安全運維人員的工作效率。
告別“手動擋” 四大特性大幅提升響應處置效率
據介紹,奇安信SOAR基于實戰化安全運營出發,主要為客戶提供安全編排與自動化、告警管理、案件管理、工單管理四大功能。它能夠幫助企業和組織將繁雜的安全運營(尤其是安全響應)過程梳理為任務和劇本,把分散的安全工具與功能轉化為可編程的應用和動作,并且借助編排和自動化技術,將團隊、工具和流程的高度協同起來。
奇安信SOAR產品具有以下關鍵特性:
安全能力編排化
通過劇本管理、應用管理、動作管理等功能,將客戶分散的安全能力和安全運維響應的過程標準化,形成劇本庫和應用庫(動作庫),實現團隊、工具和流程的整合與協同聯動。這些標準化流程可以被隨時調用,減少了人工的干預,大幅提升應急處置的效率。
圖 劇本可視化編輯界面
告警響應自動化
對紛繁的告警信息進行智能分診,從而自動觸發對應流程,這也是區別于傳統SIEM/SOC平臺的告警管理功能的關鍵之處。
一方面告警分診能夠自動化地聚合告警信息,自動計算告警的可信度和處置優先級,幫助管理員聚焦關鍵的告警;
另一方面,告警調查還可針對告警信息進行補充調查分析,將低質量的告警變成高質量、有價值的告警,并且排除虛假告警。同時,在進行告警調查的時候,運維人員還可對告警進行增強,盡可能清晰、精準地將告警的相關信息呈現出來,方便管理員進行研判。
圖 告警自動化響應配置界面
案件管理全程化
奇安信SOAR可幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置,并且不斷積累該案件相關的痕跡物證(IOC)和攻擊者的攻擊戰術等指標信息(TTP)。
圖 案件管理界面
系統架構開放化
采用開放可編程架構設計,內置工作流引擎和應用開發包,用戶可自定義劇本、應用、自動響應觸發條件和案件處置過程,無縫融入現有安全體系。
基于以上四大特性,奇安信SOAR可幫助客戶重點解決因運維響應人員匱乏、安全事件響應不及時、重復性運維工作量大、安全設備之間缺乏協同且聯動性差等導致安全運營效率低下的問題,將安全團隊、工具和流程真正整合起來,讓安全運營工作更加協同一致。
同時,在重大活動網絡安全保障期間,奇安信SOAR還可以幫助客戶在事前制定預案以逸待勞、事中自動響應快速處置、事后復盤總結積累經驗,全方位提升實戰化運營水平。
人的因素在SOAR中同樣重要
2月25日, RSA主席Rohit Ghai向與會的大約4萬名與會者重新敘述網絡安全中“人”的故事。Ghai認為,如果不重新思考網絡安全文化,不像關注技術那樣關注人,我們最終是無法戰勝網絡威脅的。
對SOAR而言,人的因素同樣至關重要,不能片面地認為自動化(譬如SOAR)可以顯著降低企業和組織對安全運維人員的技能水平和數量的要求。事實上,根據Ponemon在2019年4月份做的一個調研報告,從中期來看,安全自動化非但不會降低安全對人員的需求,反而會需要更多的人,而且是更高水平的人。
人永遠是安全的最關鍵因素,既是最大的脆弱點,也是最重要的生產力。自動化不是取代人,而是讓安全人員變得更強,更有效率。
