淺談安數雲智慧安全運營管理平臺：DCS-SOAR

SOAR(security orchestration,automation and response),由Gartner于2015年提出,最初的含義是安全運營、分析與報告。2017年,Gartner又重新定義了SOAR的能力,包括安全編排、安全自動化和安全響應。

Gartner認為,SOAR是一組相容軟體程式的堆棧,用以收集對網路安全造成威脅的數據,並對安全事件做出響應。用戶使用SOAR平臺的目的是提高物理系統及數字安全運營的效率。

SOAR的三大功能

安全編排

安全編排是通過工具將不同系統整合,如漏洞掃描、終端防護、行為分析、防火牆、IDS/IPS或外部威脅情報源等,進行自定義整合和介面對接,從而提升數據的收集能力。

通過這些來源收集的數據越多,偵測威脅的機會就越大,同時也能獲得更完整的背景資訊,並改善協作。

安全自動化

安全自動化通過分析從安全編排中收集的數據及告警,創建自動化流程來替代人工流程。安全運營平臺以前由分析人員執行的任務,比如漏洞掃描、日誌分析和審計能力,現在能夠通過SOAR的安全自動化功能實現標準化並且自動執行。

安全響應

安全響應為分析人員提供單一視圖,這個單一視圖可以促進安全、網路和系統之間的協作及情報共用。安全人員在檢測到威脅後,能夠規劃、管理、監控和報告已採取的行動。

SOAR的核心優勢

SOAR是基於系統執行安全操作的能力,能夠檢測、調查和消除網路威脅,無需人工干預。SOAR的自動化編排與響應能力能夠實現以下功能:

-檢測用戶環境中的威脅;

-對潛在威脅進行分類;

-確定是否對事件採取行動;

-控制並解決問題。

SOAR的這些功能無需人工干預即可實現。安全分析人員不需要按照步驟、説明和決策流程來確定事件是否是合法事件;重復、耗時的操作可以通過SOAR的自動編排與響應功能完成,分析人員可以專注于更重要、增值的工作。

安數雲的DCS-SOAR平臺

面對海量數據,如何進行精準高效的安全運營,是當前各行業用戶重點關注的問題。安數雲作為國內專業的雲安全整體解決方案及服務提供商,敏銳把握用戶需求,推出安數雲DCS-SOAR(安全編排自動化響應)平臺,通過充分應用SOAR的各項安全能力,為用戶提供更高效的智慧安全運營管理服務。

安數雲認為,業內SOAR平臺主要分為三個類型:整合型、獨立型、混合型。安數雲以混合型切入,安數雲DCS-SOAR平臺通過資産、事件、漏洞、定時四個維度開展安全編排與自動響應功能,通過組織收集多種來源的數據,並根據縱深防禦原則,應用工作流來拉通各種流程和規程。

以資産類響應為例,用戶上線資産後,通過資産探測觸發劇本,劇本自動與資産管理模組聯動、根據資産類型進行分類入庫及漏洞掃描、期間通過AI模型引擎進行數據處理及蒐集,將需要防護的資産生成對應策略,並添加至SDN服務鏈進行防護,整套流程全部通過劇本編排做到自動化響應。

除此以外,AI引擎還會提供包括事件管理、告警統計、威脅情報管理、自動巡檢,以及功能分析等多種能力。

安數雲DCS-SOAR平臺致力於解決用戶雲上資産的安全運營問題,面對用戶防護設備繁雜臃腫、安全事件難以及時響應、運營成本逐年上升的困境,安數雲DCS-SOAR平臺以安全大腦驅動為核心,建立運營體系,通過OneStep框架實現第三方安全産品的“無門檻接入、低門檻納管”;通過劇本編排實現自動化快速響應以及網路調度。

安數雲DCS-SOAR平臺以安全運營為導向,通過態勢感知+SOAR+雲安全管理等各項功能,協助用戶實現低成本的資産管控以及安全運營,達到可視、可用、可管、可控。

得力於DCS-AI安全大腦,安數雲DCS-SOAR平臺結合多源異構日誌採集處理、大數據檢索存儲,對安全事件應急響應速度提升1200%,對於0day漏洞,也能夠快速從情報庫中檢索,第一時間快速篩查並隔離風險資産。

SOAR平臺是網路安全運營趨勢

在不斷增長且日益數字化的世界中,網路安全面臨諸多挑戰。威脅變得越來越頻繁和複雜,企業需要制定一種高效且有效的安全運營策略,應對安全挑戰。SOAR成為安全運營團隊管理、分析和應對告警及威脅的新方式。

威脅和告警數量不斷增長,資源又不足以應對所有問題,在日常運營中,分析人員需要快速決定哪些告警需要處理,哪些可以忽略,但由於超負荷工作,很可能錯過真正的威脅,在應對威脅和惡意攻擊時出現誤判,最終使網路及數據産生安全洩露,造成無可挽回的損失。

因此,系統化安全編排並通過自動化響應,對於處理威脅告警的過程是至關重要的。通過過濾掉佔用過多精力和資源的單調任務,安全運營團隊在處理和調查事件時更加有效和高效,從而能夠極大地改善整個網路的安全狀況。