SOAR(安全編排��、自動化和響應(yīng))被看作是下一代SOC的標(biāo)志性方案�����,同時也是提升安全運營效率的關(guān)鍵機制�。
眾所周知,下一代SOC的重點是提高檢測和響應(yīng)能力���。但是今天的現(xiàn)狀是����,SOC運營團隊不堪重負(fù)���,誤報率居高不下���,MTTR(平均響應(yīng)時間)表現(xiàn)遲遲難以提升�。因此�����,安全業(yè)界和企業(yè)安全團隊對SOAR解決方案寄予厚望����,期望通過部署SOAR在檢測和響應(yīng)威脅方面大幅提高SOC效率。
但是�����,甲方企業(yè)也需要意識到�����,如果實施不正確����,SOAR解決方案同時也會帶來新的挑戰(zhàn)�����。如果沒有適當(dāng)?shù)挠媱潱捎冒踩詣踊ぞ叩钠髽I(yè)可能會成為常見失誤的受害者����,這些失誤會迅速導(dǎo)致效率降低和安全狀況變差。
總之����,企業(yè)選擇合適的SOAR解決方案,需要考慮多種因素��。以下是幾位國外安全專家對SOAR選型給出的見解和建議:
Palo Alto Networks產(chǎn)品策略副總裁Rishi Bhargava
實施SOAR解決方案并非從“我沒有”到“好����,現(xiàn)在我有了”這么簡單。企業(yè)需要評估其安全工具堆棧和現(xiàn)有流程��,然后相應(yīng)地選擇其部署方法���。
生態(tài)系統(tǒng)至關(guān)重要:SOAR解決方案需要能夠集成�����,涵蓋您當(dāng)前使用的供應(yīng)商工具����。應(yīng)該提供內(nèi)部開發(fā)或自定義集成的選項。一個值得投資的SOAR解決方案��,應(yīng)當(dāng)可以隨著企業(yè)的成長而成熟����。將檢測、豐富化(enrichment)�、執(zhí)行等流程和相關(guān)工具很好地集成起來。
強大的工單和案例管理功能:事件響應(yīng)很少以自動化來開始和結(jié)束���。分析人員總是會參與事件調(diào)查����。請問供應(yīng)商:您的SOAR平臺是否原生提供本地案例管理���,還是與相關(guān)工具集成�����?您可以重構(gòu)事件時間表嗎?您無需大量編碼即可輕松自定義預(yù)案嗎��?
集成的威脅情報管理:手動威脅情報工作流是耗時的,并且無法擴展����,因此,集成的威脅情報管理自動化功能將大大減少您的平均響應(yīng)時間����。
靈活的部署:SOAR平臺應(yīng)支持本地部署和云托管部署。對于分布式環(huán)境�,請尋找可擴展并支持完全多租戶環(huán)境的方案。
無論您在選擇或?qū)嵤㏒OAR的哪個階段���,上述注意事項都將確保您所在的企業(yè)處于最佳路徑��。
Micro Focus SecOps產(chǎn)品經(jīng)理GamzeBing?l
SOAR解決方案的根本目的是通過自動化和編排技術(shù)幫助安全人員提高檢測和響應(yīng)網(wǎng)絡(luò)威脅的能力�。
網(wǎng)絡(luò)安全自動化:SOAR的自動化功能應(yīng)通過消除誤報并自動執(zhí)行重復(fù)性活動來自動處理大多數(shù)威脅�。使用SOAR自動執(zhí)行耗時且重復(fù)的任務(wù),使分析師有更多時間專注于需要人工干預(yù)的案例����。
開箱即用的預(yù)案:場景驅(qū)動,隨時可用的自動預(yù)案應(yīng)該是SOAR即開即用的功能�。隨時可用的預(yù)案可以幫助團隊將響應(yīng)時間從數(shù)小時縮短至數(shù)分鐘,并將提高分析師的工作效率����。
與現(xiàn)有工具集成:單打獨斗的安全工具不如相互補充的集成工具套件有用����。SOAR很重要的一點就是需要與企業(yè)中現(xiàn)有安全的解決方案�、IT基礎(chǔ)結(jié)構(gòu)和技術(shù)集成,并通過加強協(xié)作和編排所有要素(就像它們都是同一解決方案的一部分一樣)���,充當(dāng)整個安全環(huán)境的集中式樞紐��。
KPI和指標(biāo):SOAR關(guān)于案例和分析師的詳細(xì)報告可以幫助管理人員了解歷史事件并更好地計劃未來的方向����。
Exabeam歐洲�、中東和非洲地區(qū)安全策略高級總監(jiān)Richard Cassidy
SOAR解決方案應(yīng)使團隊能夠跨大量不同的數(shù)據(jù)流自動進行識別和響應(yīng)過程,從而使威脅和漏洞的優(yōu)先級劃分幾乎無縫銜接���,并且在安全運營效率上要高得多�。
如果實施正確��,安全運營中心(SOC)可以從使用SOAR解決方案中受益�,從而幫助他們更快,更有效地應(yīng)對威脅。
將SOAR與其他安全工具集成在一起�,例如安全信息和事件管理(SIEM)�����,可以通過自動化來改變SOC團隊的業(yè)務(wù)和技術(shù)成果�����,同時還可以提高效率�。
企業(yè)可以使用SOAR來增強SIEM的功能,從而提供全面的解決方案�。SIEM以一種有用的方式收集和存儲數(shù)據(jù),SOAR可以使用它來自動調(diào)查事件并做出響應(yīng)���,并減少對人工操作的需求�����。
而且�����,對于SOC團隊迄今為止最大的挑戰(zhàn)——誤報����,SOAR解決方案可以幫助采集信息,對重復(fù)警報進行優(yōu)先級排序和合并��,以減少誤報的數(shù)量����。
科迪康奈爾大學(xué)首席戰(zhàn)略官,Swinlane
在考慮SOAR解決方案時�,企業(yè)需要從兩個角度進行思考:安全運營自動化需要解決的問題是什么,需求是什么��?將來如何利用自動化����?
首先,您使用的工具或針對您的對手是靜態(tài)的��,還是動態(tài)的���?當(dāng)然��,絕大多數(shù)情況下答案都是后者���。因此,您應(yīng)該選擇可以快速集成快速擴展的解決方案——不僅足以滿足當(dāng)今的需求,而且還能夠滿足未來的需求����。
其次,當(dāng)您查看攻擊者技術(shù)的變化時�����,您是否認(rèn)為攻擊者也會擁抱自動化����?事實上攻擊者不僅使用自動化來運行掃描�,而且還使用DevOps方法來為每個攻擊目標(biāo)構(gòu)建唯一的基礎(chǔ)架構(gòu)。
如果這種情況繼續(xù)下去�,您將需要一個自動化平臺,該平臺能夠在無需人工干預(yù)的情況下��,對案件和警報中的危害指標(biāo)(IOC)和其他情報進行追溯和調(diào)查���。
Splunk安全布道者Matthias Maier
選擇SOAR平臺時應(yīng)考慮幾個不同的標(biāo)準(zhǔn)�,以及使用哪些標(biāo)準(zhǔn):
這些可以被認(rèn)為是SOAR平臺的基本組成部分和功能��,用戶可以輕松識別��。其中的一些重要組件例如編排器、負(fù)責(zé)指導(dǎo)和監(jiān)督與給定安全方案有關(guān)的所有活動����。編排器需要最佳化利用可用資源,這一點至關(guān)重要�。另一個是自動化引擎。由于自動化任務(wù)是獨立運行的�,并且在很大程度上不需要人工干預(yù),因此平臺可伸縮性和可擴展性等屬性是要考慮的重要標(biāo)準(zhǔn)����。案例和預(yù)案管理也應(yīng)予以考慮。
這屬于定性標(biāo)準(zhǔn)����。通過觀察和與平臺的交互,可以更頻繁地評估這些標(biāo)準(zhǔn)����。SOAR平臺必須支持強大的社區(qū)模型,并易于共享應(yīng)用程序集成和劇本�����。了解SOAR平臺在垂直和水平方向上如何擴展也很重要���。隨著時間的推移添加用例�����,平臺上將增加額外的處理負(fù)載�����。開放����、移動友好且易于使用的平臺也是關(guān)鍵考量因素����。
其中包括公司為增強其核心技術(shù)而提供的增值服務(wù),例如培訓(xùn)和支持���。無論公司的核心技術(shù)多么出色��,在傳統(tǒng)上被認(rèn)為是對購買者的決策過程產(chǎn)生重大影響的產(chǎn)品之外的其他因素也需要給予關(guān)注��。
SIRP首席執(zhí)行官Faiz Ahmad Shuja
一項研究發(fā)現(xiàn)�,安全專家平均每天收到840個安全警報�。由于大多數(shù)警報大約需要15-30分鐘才能完成手動調(diào)查��,因此對于任何安全團隊而言����,這幾乎是一項不可能的任務(wù)�。
使盡可能多的工作負(fù)載自動化將使安全團隊能夠跟上步伐�,并確保重要的威脅不會被忽略�,SOAR平臺是最有效解決方案之一���。
成功集成SOAR的最重要步驟是為所有安全流程提供可靠的文檔�����。對于所有主要流程,都需要有完善的響應(yīng)手冊���。例如�,如果檢測到潛在的網(wǎng)絡(luò)釣魚電子郵件,則響應(yīng)可能包括調(diào)查發(fā)件人的地址和檢測欺騙的跡象,對所有URL的信譽得分和惡意腳本進行探測�����。一旦記錄了所有這些過程��,SOAR平臺就可以開始自動執(zhí)行它們���。
另外�����,組織需要確保他們選擇的SOAR平臺具有強大的集成能力��。該平臺將需要與他們現(xiàn)有的SIEM解決方案平穩(wěn)配合�,并與其他安全解決方案和更廣泛的IT基礎(chǔ)架構(gòu)連接。
Siemplify首席執(zhí)行官Amos Stern
安全協(xié)調(diào)、自動化和響應(yīng)��,能夠解決安全團隊長久以來面臨的一些最令人沮喪的挑戰(zhàn)���。
正確的SOAR平臺���,加上良好的實施�,可以幫助減少警報過載,將組織所使用的多種不同的檢測工具結(jié)合在一起��,并構(gòu)建自動化和可重復(fù)的流程以減少響應(yīng)時間,同時又使安全分析人員擺脫了繁瑣且通常是繁瑣的手動工作���。使他們可以專注于高價值的工作��,例如搜尋威脅和建立更具彈性的安全基礎(chǔ)架構(gòu)�。
SOAR解決方案的核心應(yīng)該是獲取警報�����,(通過本機API)與各種第三方檢測工具集成�,并使工作流程自動化。
但是���,最好的SOAR可以充當(dāng)集中式工作臺��。像Salesforce一樣思考,這也適用于SOC分析師��。您應(yīng)該尋找的SOAR解決方案應(yīng)當(dāng)具備以下高級功能:
案例管理(特別是對與上下文相關(guān)的警報進行分組的能力)�;
集成的威脅情報;
協(xié)作(在新的遠(yuǎn)程辦公環(huán)境中尤其重要)�����;
儀表板和KPI(以提供可見性和洞察力);
危機管理(升級)在發(fā)生重大事件時進行跨組織的響應(yīng)���。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
