“安全和運(yùn)維兩張皮、安全能力融合不充分、海量告警疲于應(yīng)對(duì)、溝通靠吼操作靠手、制度流程空轉(zhuǎn)……”某大型央企信息安全中心主管表示，當(dāng)前安全運(yùn)行存在五大痛點(diǎn)：人少事多、告警疲勞、響應(yīng)太慢、知識(shí)流失、缺乏協(xié)作。安全運(yùn)行亟需升級(jí)換代。

12月24日，奇安信在京正式發(fā)布新版安全編排與自動(dòng)化響應(yīng)產(chǎn)品(SOAR3.0)，該產(chǎn)品基于自動(dòng)化、智能化的網(wǎng)絡(luò)安全檢測(cè)和響應(yīng)能力，以幫助政企機(jī)構(gòu)打造落地可用的網(wǎng)絡(luò)安全運(yùn)行體系，安全處置效率提升十倍以上。

奇安信集團(tuán)總裁吳云坤表示，SOAR不僅僅是一個(gè)產(chǎn)品，更是一個(gè)平臺(tái)，代表一個(gè)新興的領(lǐng)域，將安全、IT和人深度結(jié)合。利用體系化的方法，做到常態(tài)化運(yùn)行，實(shí)現(xiàn)實(shí)戰(zhàn)化攻防，為用戶達(dá)到“三化六防”提供堅(jiān)實(shí)的支撐。

安全運(yùn)行迎來SOAR時(shí)代

近一個(gè)月來，業(yè)界接連曝出兩次大規(guī)模的網(wǎng)絡(luò)攻擊：包括Fireeye武器庫泄露事件和SolarWinds供應(yīng)鏈攻擊事件。顯而易見的是，網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻。從過去幾年的攻防實(shí)戰(zhàn)演習(xí)經(jīng)驗(yàn)來看，政企機(jī)構(gòu)在面臨組織化、體系化的網(wǎng)絡(luò)攻擊時(shí)，依然顯得力不從心。

大多數(shù)機(jī)構(gòu)并沒有建立起一個(gè)行之有效的安全運(yùn)行體系。從發(fā)現(xiàn)威脅到處置威脅，需要消耗太多的人力成本和時(shí)間成本。

尤其是在響應(yīng)環(huán)節(jié)，一方面是威脅處置需要不同的安全設(shè)備之間的協(xié)同聯(lián)動(dòng)，依靠人工操作耗時(shí)費(fèi)力；另一方面是響應(yīng)人員匱乏，技能水平受困于重復(fù)性勞動(dòng)難以提升，而優(yōu)秀的工程師的經(jīng)驗(yàn)也難以形成標(biāo)準(zhǔn)化的流程和動(dòng)作。

“SOAR并不單單是一款產(chǎn)品或者一個(gè)工具�！逼姘残偶瘓F(tuán)總裁吳云坤說，“從SOAR1.0時(shí)簡(jiǎn)單的系統(tǒng)模塊，到SOAR2.0時(shí)自動(dòng)化響應(yīng)的工具再到今天奇安信即將發(fā)布的SOAR3.0，SOAR代表著安全運(yùn)行的發(fā)展趨勢(shì)�！�

吳云坤強(qiáng)調(diào)，從“十三五”結(jié)尾到“十四五”的開篇，這推動(dòng)了網(wǎng)絡(luò)安全進(jìn)入了另一個(gè)“元年”，標(biāo)志正是實(shí)戰(zhàn)化、常態(tài)化、體系化的安全運(yùn)行在政企機(jī)構(gòu)的落地，SOAR則是其中的關(guān)鍵。

Gartner數(shù)據(jù)顯示，作為一個(gè)相對(duì)新的技術(shù)，自SOAR誕生起，就受到市場(chǎng)的廣泛關(guān)注。預(yù)計(jì)到2023年，SOAR市場(chǎng)收入規(guī)模將達(dá)到5.5億美元。

安全處置時(shí)長縮短至分鐘級(jí)

SOAR大大提高的處置效率。奇安信在實(shí)踐中發(fā)現(xiàn)，在重保時(shí)一鍵封禁IP場(chǎng)景下，對(duì)于少量的告警，人工處置要20分鐘甚至更長，而利用SOAR僅需10~30秒，如果在告警量數(shù)以萬計(jì)的條件下，依靠人工更加難以處置，而SOAR可以全量處置，時(shí)長僅在分鐘級(jí)別。

在威脅情報(bào)比對(duì)和高危IP封堵環(huán)節(jié)，依靠人工每天只能處理部分IP，且每次處理都要半小時(shí)以上；依靠SOAR每個(gè)IP的研判與處置僅需不到10秒，且可以持續(xù)不斷地去做，效率大大提升。

在生成安全事件報(bào)告環(huán)節(jié)，手工撰寫需要4~8小時(shí)，SOAR一鍵導(dǎo)出僅需幾秒鐘，加上人工修訂，合計(jì)時(shí)長可以控制到1小時(shí)內(nèi)。

總體來看，SOAR能夠?qū)�安全事件調(diào)查與響應(yīng)操作的效率提高10倍以上；對(duì)于需要重復(fù)性持續(xù)性的操作，提升的效率更是數(shù)以百倍計(jì)。正因如此，SOAR受到了大型政企機(jī)構(gòu)的歡迎。

六大特性實(shí)現(xiàn)網(wǎng)絡(luò)安全常態(tài)化運(yùn)行

據(jù)介紹，奇安信SOAR 3.0以實(shí)戰(zhàn)化為核心，能夠幫助企業(yè)和組織將繁雜安全運(yùn)行過程梳理為任務(wù)和劇本，把分散的安全工具與功能轉(zhuǎn)化為可編程的應(yīng)用和動(dòng)作，并且借助編排和自動(dòng)化技術(shù)，將團(tuán)隊(duì)、工具和流程的高度協(xié)同起來，覆蓋安全運(yùn)行的防護(hù)、檢測(cè)、響應(yīng)等各個(gè)環(huán)節(jié)。

據(jù)介紹，奇安信SOAR產(chǎn)品具有以下關(guān)鍵特性：

首先，安全能力編排化能夠?qū)⒖蛻舴稚⒌陌踩�能力和響�?yīng)的過程標(biāo)準(zhǔn)化，形成能隨時(shí)調(diào)用的劇本庫和應(yīng)用庫，實(shí)現(xiàn)團(tuán)隊(duì)、工具和流程的整合與協(xié)同聯(lián)動(dòng)，減少人工干預(yù)。

其次，安全流程自動(dòng)化能夠通過自動(dòng)化告警處置、自動(dòng)化劇本執(zhí)行、自動(dòng)化服務(wù)調(diào)用等功能，讓安全能力自動(dòng)化執(zhí)行。

再次，告警響應(yīng)智能化能夠?qū)�海量告警信息進(jìn)行智能分診，從而自動(dòng)觸發(fā)編排好的流程，就像醫(yī)院的分診臺(tái)。一方面告警分診能夠自動(dòng)化地聚合告警信息，計(jì)算告警的可信度和處置優(yōu)先級(jí)；另一方面，可針對(duì)告警信息進(jìn)行補(bǔ)充調(diào)查分析，方便工程師進(jìn)行下一步研判。

同時(shí)，案件管理全程化可幫助用戶對(duì)一組相關(guān)的告警進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置，并且不斷積累該案件相關(guān)的痕跡物證(IOC)和攻擊者的攻擊戰(zhàn)術(shù)等指標(biāo)信息。

最后奇安信SOAR具備系統(tǒng)架構(gòu)開放化的特點(diǎn)，采用開放可編程架構(gòu)設(shè)計(jì)，內(nèi)置工作流引擎和應(yīng)用開發(fā)包，用戶可自定義劇本、應(yīng)用、自動(dòng)響應(yīng)觸發(fā)條件和案件處置過程，無縫融入現(xiàn)有安全體系。

在上述五大核心能力的基礎(chǔ)上，此次奇安信新版SOAR加入了協(xié)同作戰(zhàn)室功能，不僅實(shí)現(xiàn)了安全工程師的實(shí)時(shí)溝通，還內(nèi)置了大量編排好的自動(dòng)化劇本和命令，實(shí)現(xiàn)了人機(jī)之間的協(xié)同處置，從而改變了“通訊基本靠吼，操作基本靠手”的局面，進(jìn)一步提升了協(xié)同作戰(zhàn)的效率。

奇安信SOAR產(chǎn)品負(fù)責(zé)人形象的將SOAR比喻為一位交響樂指揮大師，讓各種安全產(chǎn)品構(gòu)成的樂隊(duì)各施所長，協(xié)作演奏出一曲曲優(yōu)美的樂章。

Gartner調(diào)查發(fā)現(xiàn)，隨著安全技術(shù)的發(fā)展，許多工具中已經(jīng)存在 SOAR 或集成了SOAR模塊，如SIEM等設(shè)備已經(jīng)包含工作流自動(dòng)化等相關(guān)功能。

作為國內(nèi)網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，奇安信此次發(fā)布的新版SOAR既可獨(dú)立部署，也可與SOC等設(shè)備聯(lián)動(dòng)部署，功能、性能更具優(yōu)勢(shì)，能夠?qū)�安全團(tuán)隊(duì)、工具和流程真正整合起來。同時(shí)，在重大活動(dòng)網(wǎng)絡(luò)安全保障期間，奇安信SOAR還可以幫助客戶在事前制定預(yù)案以逸待勞、事中自動(dòng)響應(yīng)快速處置、事后復(fù)盤總結(jié)積累經(jīng)驗(yàn)，全方位提升實(shí)戰(zhàn)化、體系化、常態(tài)化安全運(yùn)行水平。

   【免責(zé)聲明】本文僅代表合作供稿方觀點(diǎn)，不代表和訊網(wǎng)立場(chǎng)。投資者據(jù)此操作，風(fēng)險(xiǎn)請(qǐng)自擔(dān)。