當前,由于企業的數字資產攻擊面不斷擴大,以及數字化業務資產價值不斷提升,企業面臨的攻擊威脅也在不斷增加。為了應對挑戰,企業需要進一步增強安全運營中心的自動化水平,提高消除安全威脅的速度和敏捷性,同時減輕運營人員的工作壓力。安全編排與自動化響應(SOAR)正是幫助企業實現安全運營自動化的代表性技術之一。
大量應用實踐表明,SOAR可以幫助企業安全運營中心實現以下方面的能力優化:
安全能力編排
SOAR可以幫助安全運營中心實現各種異構安全工具的銜接和工作協同,從而提高獲取威脅、運營監控和識別事件的效率。
自動化
SOAR可以通過預定義的參數自動觸發工作流程、任務和警報,幫助企業安全運營中心實現更積極的主動安全防護模式。
事件響應
SOAR可以加快企業安全運營中心對中、低風險事件進行通用性和針對性的處置響應,并通過統一視圖方式來訪問、查詢和共享威脅情報,為安全分析師提供支持。
北信源SOAR
助力企業安全運維響應自動化
北信源作為國內信息安全領域領軍企業,憑借多年安全服務經驗,研發了北信源安全編排與自動化響應系統(SOAR)安全產品。通過連接企業各類現有安全設備、網絡設備、辦公軟件、通信服務以及相關人員,緩解企業安全專業人才不足、響應效率要求高、重復工作冗雜等問題,幫助安全運營團隊實現更高效、更準確的安全事件響應和威脅管理,有效降低安全風險和減少響應時間。
其強大功能主要體現在以下方面:
1 多源事件聚合
可對接各類事件檢測設備,包括但不限于威脅情報系統(TIP)、防病毒系統(AV)、終端安全檢測與響應系統(EDR)、入侵檢測系統(IDS)、身份與訪問安全管理系統(IAM)、安全信息與事件管理系統(SIEM)、態勢感知系統(CSA)等,將各類安全事件告警統一匯入SOAR系統中,自動合并重復告警,減少管理員需要查看的告警數量,并自動轉化為不同等級和類型的案件,幫助管理員聚焦重要的事件告警。
2 第三方能力調度
可整合各類安全處置設備,包括各類安全設備、網絡設備、辦公軟件和通信服務。當處理事件和運維任務時,在SOAR控制臺可調用相關設備對威脅進行遏制、根除、恢復,給相關用戶發通知,對系統進行加固,生成內生威脅情報等,成為企業安全能力的統一調度中臺。
3 跨部門任務協作
在安全事件處置過程中,可通過短信、郵件、即時通信等方式邀請相關人員進行人工協作。如某些危險操作需要請示領導審批,某些信息收集需要人工填報匯總,某些無法自動化處置的任務需要相關人員線下處置等,實現跨部門的團隊協作。
4 運維/響應自動化
內置劇本庫,滿足安全運營團隊安全運維和事件響應的通用自動化處置需求。運營團隊可根據需要,通過可視化編排,對劇本進行剪裁和修改,甚至創建新劇本,以適應單位的個性化需求。對于不同類型的案件,劇本可配置自啟動,對安全事件進行自動調查、自動遏制、自動根除、自動恢復,并在劇本執行過程中請求人工干涉。
5 統一案件處理
支持事件響應和安全運維全生命周期的管理。可通過調用劇本、處置設備和人工協作處置案件,滿足事件響應各個階段的處置需求,可對事件展開自動化的跟蹤、調查、狩獵和通知,提高運營團隊對安全事件的響應效率,減少應對事件的平均響應時間。
6 運營成果可視化
可對北信源SOAR系統的運營成果進行總結,并以可視化的方式展示并導出,使安全部門負責人能夠及時了解運營現狀,同時也為管理者向上級匯報提供素材。
乘人工智能之翼
SOAR應用場景創新升級
當前,大語言模型的技術突破標志著人工智能進入了新的時代,也推進了安全運營的產業升級。北信源發揮人工智能的創造力開啟對話式智能安全運營的新方式,其中運用到SOAR的場景如下:
當北信源內網安全管理系統(EPP)、主機安全檢測響應系統(EDR)和數據泄露防護系統(DLP)發現違規或受害終端時,大語言模型可根據北信源SOAR系統現有劇本庫和安全運營人員的歷史處理行為,通過“信源密信”安全即時通信平臺為運營者提供劇本選擇建議或創建新的劇本。運營者可根據大語言模型提供的劇本建議對事件進行研判、調查、狩獵、響應,并在事后總結,使大語言模型能夠不斷豐富事件處置經驗。
目前,眾多行業已逐漸將目光轉向安全運營,如何大幅提升安全運營效率已成為當前時代重要的課題。北信源將持續發揮自身技術優勢、不斷創新突破,以SOAR結合更多安全層面,整合更豐富、更智能的安全能力,進一步提升對安全事件閉環處置的效率,為企業整體安全運營工作提供可靠保障,保證核心業務的平穩運行。
