阅读: 3,147
近日,国际权威咨询机构Gartner发布《Market Guide for Security Orchestration,Automation and Response Solutions》报告,绿盟科技凭借其智能安全运营管理平台(以下简称绿盟ISOP)优异的能力表现,被列为SOAR市场代表供应商。绿盟ISOP具备灵活的开箱即用能力、自动化编排能力、丰富的情报运作及管理能力,可提供端到端的安全编排能力,以及从威胁检测、威胁分析到自动化协同响应的闭环解决方案,并积累了丰富的客户实际使用案例。
Gartner将SOAR定义为结合事件响应、自动化编排以及威胁情报平台管理的解决方案。SOAR工具可用于多项安全运营管理工作,如记录和实施流程、支持安全事件管理、将基于机器的辅助应用于安全分析师和操作员,以及更好地利用威胁情报。工作流程可以通过集成其他技术进行编排,并自动实现所需的结果,用例包含事件分类、事件响应、威胁情报(TI)的获取和管理。
Gartner报告指出,从技术发展来看,SOAR解决方案融合了三种历史上截然不同的技术,如安全事件响应平台(SIRPS)、安全编排和自动化(SOAR)、威胁情报平台(TIPs)。Gartner调研发现客户使用SOAR解决方案的期望是提高生产力、效率和一致性。但是当前管理、威胁情报、事件响应和威胁搜索还处于初级阶段。客户在选择SOAR解决方案时会考虑以下要求:
- 支持跨多个现有安全产品的单点解决方案(如端点、防火墙、入侵检测和防御系统、SIEM、安全邮件网关、SSE和漏洞评估技术)。
- 支持进行事件关联和聚合的能力,以便通过更好的事件来丰富改进安全操作流程和告警,实现这一点的一个关键方法是低代码“剧本”,它允许对自动化过程进行编码,可用于提高一致性并节省时间。
- 能够部署在本地或作为云解决方案(如SaaS)。
- 支持从第三方来源摄取各种来源和格式的威胁情报,支持开源、行业、政府(信息共享、分析中心和计算机应急响应小组)及商业提供商。
- 与IT运营解决方案双向集成,如用于案例管理的工单系统和协作工具、用于更好实现实时通信的消息应用程序。
绿盟ISOP作为企业安全运营的有力抓手,其包含的SOAR模块通过可视化编排将人、安全技术、流程进行深度融合。通过Playbook剧本串并联构建安全事件处置的工作流,自动化触发不同安全设备执行的响应动作。基于安全事件上下文有更全面、端到端的理解,有助于将复杂的事件响应过程和任务转换为一致、可重复、可度量和有效的工作流,变被动应急响应为自动化持续响应。
可视化编排示例
绿盟ISOP秉承第三方数据源及设备开箱即上线的迭代化持续交付理念,覆盖安全检测、安全防御、脆弱性评估和安全响应四大类、近百种设备和产品,通过标准接口对接即可融入到自动化响应处置流程中。通过平台定义的DevSecOps框架能力,在系统中以插件化方式定义设备接口,并支持在平台运行状态下实现设备的开箱即用(out-of-box)自动化集成。
端到端的自动化编排响应处置流程,涵盖丰富、灵活的可拆解动作
绿盟ISOP内置了数十种常见主流攻击对应的案例,此外企业可通过可视化拖拽编排方式快速创建案例及其对应的Playbook剧本,安全研判不同步骤之间往往具有依赖关系,安全事件分析过程通过可视化拖拽方式,为安全处置提供上下文,避免传统运维要在不同页面间跳转切换,降低安全事件处置复杂度。案例一旦创建成功启用,后续命中案例的事件即可通过自动化方式处置,降低了不同部门间协同沟通、流程流转消耗的成本。案例可以帮助企业对一组相关事件进行流程化、持续化的调查分析与响应处置跟踪记录,案例执行过程中,安全事件的每个中间过程执行状态(成功、执行中、失败)均可在可视化编排流程中展示,进而实现端到端的运维流程可视化。
多级自动化处置流程
针对已知威胁并固化了相应Playbook执行脚本的案例,当威胁发生时送入到SOAR平台中,SOAR引擎自动调用固化的Playbook脚本,依据Playbook固化的处理流程及处理优先级,实现对威胁的全局封堵、被感染主机清除及被影响主机的加固等响应过程。
SOAR可以应用于演练保障快速处置、日常运维深度研判、人机协同经验持续固化场景,从不同方面有效提升企业安全管理能力。大型演练保障活动往往关注“短时间内大批量IP的快速封禁能力”,通过 SOAR与网络安全设备对接,对全网不同出口的安全设备下发封堵任务,实现对攻击IP的快速封禁,缩短攻击者横向蔓延、提权等动作的时间。随着运维习惯的固化,防御者往往会结合业务系统的属性对封禁进行持续性优化,对于平时没有国外访问的业务系统,防御者也会经常直接对国外的源IP进行全网封禁。在保障演练期间,攻击者一般会使用一些0DAY攻击手法进行攻击,这时安全设备往往没有规则对该事件进行检测。云端的专家团队可以借用专业的攻防安全分析知识,通过云地协同的工作模式,第一时间对攻击者采用的攻击手法、攻击路径、攻击特征进行分析,并及时下发给SOAR。日常运维中,通常不仅依托于威胁情报IP就简单判断一个威胁事件,SOAR需要结合危害级别、攻击频率对威胁事件的处置方法进行综合判定。例如某攻击IP的风险值为高,且在30分钟内发起了大于50次攻击,则可通过SOAR对设备发起全网封禁。
可以预见,未来SOAR可以有效帮助安全团队加速实现安全流程的标准化、自动化和智能化。SOAR的建设也不是一蹴而就的,随着安全团队在安全操作中对应用自动化需求的不断提高,SOAR将加速建设生态圈,通过持续不断连接不同的解决方案,大幅提升安全运营的效能和成熟度。
[1] Market Guide for Security Orchestration, Automation and Response Solutions Published 13 June 2022 – ID G00735883
Gartner并未在其研究报告中支持任何供应商、产品或服务,也并未建议科技用户只选择该等获最高评分或其它称号的供应商。Gartner的研究报告含有Gartner研究与顾问组织的意见,且该意见不应被视作事实陈述。就该研究报告而言,Gartner放弃做出所有明示或默示的保证,包括任何有关适销性或某一特定用途适用性的保证。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。