“安全和運維兩張皮、安全能力融合不充分、海量告警疲于應對、溝通靠吼操作靠手、制度流程空轉……”某大型央企信息安全中心主管表示,當前安全運行存在五大痛點:人少事多、告警疲勞、響應太慢、知識流失、缺乏協作。安全運行亟需升級換代。
12月24日,奇安信在京正式發布新版安全編排與自動化響應產品(SOAR3.0),該產品基于自動化、智能化的網絡安全檢測和響應能力,以幫助政企機構打造落地可用的網絡安全運行體系,安全處置效率提升十倍以上。
奇安信集團總裁吳云坤表示,SOAR不僅僅是一個產品,更是一個平臺,代表一個新興的領域,將安全、IT和人深度結合。利用體系化的方法,做到常態化運行,實現實戰化攻防,為用戶達到“三化六防”提供堅實的支撐。
安全運行迎來SOAR時代
近一個月來,業界接連曝出兩次大規模的網絡攻擊:包括Fireeye武器庫泄露事件和SolarWinds供應鏈攻擊事件。顯而易見的是,網絡安全形勢日趨嚴峻。從過去幾年的攻防實戰演習經驗來看,政企機構在面臨組織化、體系化的網絡攻擊時,依然顯得力不從心。
大多數機構并沒有建立起一個行之有效的安全運行體系。從發現威脅到處置威脅,需要消耗太多的人力成本和時間成本。
尤其是在響應環節,一方面是威脅處置需要不同的安全設備之間的協同聯動,依靠人工操作耗時費力;另一方面是響應人員匱乏,技能水平受困于重復性勞動難以提升,而優秀的工程師的經驗也難以形成標準化的流程和動作。
“SOAR并不單單是一款產品或者一個工具。”奇安信集團總裁吳云坤說,“從SOAR1.0時簡單的系統模塊,到SOAR2.0時自動化響應的工具再到今天奇安信即將發布的SOAR3.0,SOAR代表著安全運行的發展趨勢。”
吳云坤強調,從“十三五”結尾到“十四五”的開篇,這推動了網絡安全進入了另一個“元年”,標志正是實戰化、常態化、體系化的安全運行在政企機構的落地,SOAR則是其中的關鍵。
Gartner數據顯示,作為一個相對新的技術,自SOAR誕生起,就受到市場的廣泛關注。預計到2023年,SOAR市場收入規模將達到5.5億美元。
安全處置時長縮短至分鐘級
SOAR大大提高的處置效率。奇安信在實踐中發現,在重保時一鍵封禁IP場景下,對于少量的告警,人工處置要20分鐘甚至更長,而利用SOAR僅需10~30秒,如果在告警量數以萬計的條件下,依靠人工更加難以處置,而SOAR可以全量處置,時長僅在分鐘級別。
在威脅情報比對和高危IP封堵環節,依靠人工每天只能處理部分IP,且每次處理都要半小時以上;依靠SOAR每個IP的研判與處置僅需不到10秒,且可以持續不斷地去做,效率大大提升。
在生成安全事件報告環節,手工撰寫需要4~8小時,SOAR一鍵導出僅需幾秒鐘,加上人工修訂,合計時長可以控制到1小時內。
總體來看,SOAR能夠將安全事件調查與響應操作的效率提高10倍以上;對于需要重復性持續性的操作,提升的效率更是數以百倍計。正因如此,SOAR受到了大型政企機構的歡迎。
六大特性實現網絡安全常態化運行
據介紹,奇安信SOAR 3.0以實戰化為核心,能夠幫助企業和組織將繁雜安全運行過程梳理為任務和劇本,把分散的安全工具與功能轉化為可編程的應用和動作,并且借助編排和自動化技術,將團隊、工具和流程的高度協同起來,覆蓋安全運行的防護、檢測、響應等各個環節。
據介紹,奇安信SOAR產品具有以下關鍵特性:
首先,安全能力編排化能夠將客戶分散的安全能力和響應的過程標準化,形成能隨時調用的劇本庫和應用庫,實現團隊、工具和流程的整合與協同聯動,減少人工干預。
其次,安全流程自動化能夠通過自動化告警處置、自動化劇本執行、自動化服務調用等功能,讓安全能力自動化執行。
再次,告警響應智能化能夠對海量告警信息進行智能分診,從而自動觸發編排好的流程,就像醫院的分診臺。一方面告警分診能夠自動化地聚合告警信息,計算告警的可信度和處置優先級;另一方面,可針對告警信息進行補充調查分析,方便工程師進行下一步研判。
同時,案件管理全程化可幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置,并且不斷積累該案件相關的痕跡物證(IOC)和攻擊者的攻擊戰術等指標信息。
最后奇安信SOAR具備系統架構開放化的特點,采用開放可編程架構設計,內置工作流引擎和應用開發包,用戶可自定義劇本、應用、自動響應觸發條件和案件處置過程,無縫融入現有安全體系。
在上述五大核心能力的基礎上,此次奇安信新版SOAR加入了協同作戰室功能,不僅實現了安全工程師的實時溝通,還內置了大量編排好的自動化劇本和命令,實現了人機之間的協同處置,從而改變了“通訊基本靠吼,操作基本靠手”的局面,進一步提升了協同作戰的效率。
奇安信SOAR產品負責人形象的將SOAR比喻為一位交響樂指揮大師,讓各種安全產品構成的樂隊各施所長,協作演奏出一曲曲優美的樂章。
Gartner調查發現,隨著安全技術的發展,許多工具中已經存在 SOAR 或集成了SOAR模塊,如SIEM等設備已經包含工作流自動化等相關功能。
作為國內網絡安全領軍企業,奇安信此次發布的新版SOAR既可獨立部署,也可與SOC等設備聯動部署,功能、性能更具優勢,能夠將安全團隊、工具和流程真正整合起來。同時,在重大活動網絡安全保障期間,奇安信SOAR還可以幫助客戶在事前制定預案以逸待勞、事中自動響應快速處置、事后復盤總結積累經驗,全方位提升實戰化、體系化、常態化安全運行水平。
猜你喜歡
廣東省推出第二批5項青年民 
德國物價創近三十年新高 通 
網聯平臺:春節假期前5天處 
個人養老金制度加速崛起 金 
安徽省新增上市公司數創歷史 
寧波銀行申請元宇宙商標 是 
58數科完成聚合支付技術服務 
女車主通過"團團車行"賣車遇 
