随着网络安全攻防对抗的日趋激烈,简单的网络安全防范和阻止策略已不足以应对现有的网络攻击,企业和组织更加注重在网络安全检测与响应方面的防范工作,即在网络已经遭受攻击的假定前提下构建集检测、响应和预防于一体的全新安全防护体系。
由此,安全编排自动化与响应(以下简称“SOAR”)应运而生,Gartner将SOAR定义为“安全事件响应平台、安全编排与自动化以及威胁情报的集合,通过安全运行任务中技术性和非技术操作的(部分)自动化,助力提升安全运行人员的工作效率”。
基于在网络安全领域的持续积累,天融信围绕安全编排与自动化技术展开设计,将多方安全能力串联成一套针对安全运营过程自动化响应的解决方案。该方案以天融信数据中台为底层支撑平台,通过对数据的采集、建模、分析、计算,以SOAR为核心技术手段,实现终端安全、漏洞扫描、威胁情报等安全资源统一整合与管控,打破安全资源之间的孤岛格局,进行整体安全策略自动化编排,统一向业务系统提供联动服务。
安全运营-可知、可控、可管、可查
通过协同安全防护体系,提升内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力,确保大数据全程可知、可控、可管、可查。除此之外,天融信SOAR方案将人、流程、数据、安全资源有效整合在一起,实现安全管理流程一体化,主要解决了失陷终端的研判与处置、复杂威胁的交互式实时调查、威胁事件的快速响应与决策、异常行为的告警和审核等典型安全运营问题。
威胁风险-自动化响应编排
响应编排可实现根据设定好的策略规则自动驱动防护设备进行攻击阻断操作,在面临多种威胁攻击的时候,降低安全运营难度,提升效率。系统采用智能关联分析技术从海量数据中提取安全日志,安全日志作为基础数据,为场景分析和策略编排提供支撑。系统支持通过告警日志、威胁情报、漏洞等相关数据进行组合场景编排,不同场景快速关联控制策略及执行设备,实现自动化威胁处置能力,大大提升威胁处置效率。
剧本管理-可视化编程
通过预定义的工作流(Workflow)和剧本(Playbook)来标准化事故的调查处置流程,提升威胁响应的自动化程度和执行效率。以界面化的图形拖拽实现安全剧本流程的可视化编排,可自定义编排动作联动的具体安全资源,并提供编排流程需要的内置动作,如人工审批、定时执行、循环判断等,辅助安全人员建立合理的工作流程。
智能化满足合规要求。通过丰富的模型编排、场景设置对安全事件做出高效的发掘和应对。智能化的模型编排、算法优化使数据保护符合多场景的应用,大大提升入侵检测处置的能力,满足法律法规要求。
自动化降低企业成本。通过引入自动化手段提升效率,减少了应急响应人员的投入。SOAR的核心目标是为安全运营人员提供机器辅助和自动化,以提升安全运维人员的工作效率,而这种自动化是通过对流程的编排(即剧本)来实现。
协同化提升实战能力。SOAR在现有以数据为中心的安全运营框架基础之上增加了一个以流程为中心的编排层,进一步完善丰富了安全运营的体系,将人、流程、技术和工具整合,提升了安全运营的实战化水平。
天融信SOAR技术可与大数据分析平台等产品组合使用,丰富SOAR系统能力,实现自动化分析处置、实时策略下发、联动设备响应、数据交互与业务同步,增强决策能力。结合天融信在大数据分析方面的技术积累与优势,SOAR技术的应用解决了失陷终端的研判与处置、复杂威胁的交互式实时调查等典型安全运营问题,进一步推动自动化安全运营能力的落地,极大地提高了应急响应能力与安全运营效率。
基于在网络安全服务领域长期的技术积累、优异的自动化安全运营能力,以及智能化模型编排能力,天融信SOAR方案实力入编《企业安全运营自动化(SOAR)应用指南》代表性安全厂商方案,获权威机构高度认可。据报告显示,国产SOAR产品已经逐渐成熟完善,国内大型用户对SOAR的认知度和接受度也明显提升,预计未来三年,SOAR产品市场将快速发展。
天融信作为国内成立最早的网络安全企业,深耕网络安全领域27年,紧跟国家战略发展。未来,天融信将进一步深耕SOAR技术,实现将安全数据、安全事件案例、标准化工作流和人工分析相结合,使组织能够实施复杂的纵深防御能力,从而推动安全运营效率更高,更进一步帮助安全团队将无穷无尽的安全告警迅速收敛形成有效的安全事件、尽可能地自动化处理安全事件。
相关阅读
1、自动编排 安全运营 | 天融信SOAR方案入编《企业安全运营自动化(SOAR)应用指南》报告