- · 《自动化应用》栏目设置[06/28]
- · 《自动化应用》收稿方向[06/28]
- · 《自动化应用》投稿方式[06/28]
- · 《自动化应用》征稿要求[06/28]
- · 《自动化应用》刊物宗旨[06/28]
来稿应自觉遵守国家有关著作权法律法规,不得侵犯他人版权或其他权利,如果出现问题作者文责自负,而且本刊将依法追究侵权行为给本刊造成的损失责任。本刊对录用稿有修改、删节权。经本刊通知进行修改的稿件或被采用的稿件,作者必须保证本刊的独立发表权。 一、投稿方式: 1、 请从 我刊官网 直接投稿 。 2、 请 从我编辑部编辑的推广链接进入我刊投审稿系统进行投稿。 二、稿件著作权: 1、 投稿人保证其向我刊所投之作品是其本人或与他人合作创作之成果,或对所投作品拥有合法的著作权,无第三人对其作品提出可成立之权利主张。 2、 投稿人保证向我刊所投之稿件,尚未在任何媒体上发表。 3、 投稿人保证其作品不含有违反宪法、法律及损害社会公共利益之内容。 4、 投稿人向我刊所投之作品不得同时向第三方投送,即不允许一稿多投。 5、 投稿人授予我刊享有作品专有使用权的方式包括但不限于:通过网络向公众传播、复制、摘编、表演、播放、展览、发行、摄制电影、电视、录像制品、录制录音制品、制作数字化制品、改编、翻译、注释、编辑,以及出版、许可其他媒体、网站及单位转载、摘编、播放、录制、翻译、注释、编辑、改编、摄制。 6、 第5条所述之网络是指通过我刊官网。 7、 投稿人委托我刊声明,未经我方许可,任何网站、媒体、组织不得转载、摘编其作品。
深入研究SOAR的核心能力——安全编排与自动化
作者:网站采编关键词:
摘要:1?????SOAR的内涵 随着网络空间安全对抗的持续升级,当前企业和组织的安全运营工作在人员组织、告警处置、快速响应、知识沉淀、整合协作诸多方面面临的挑战越来越突出。为了应对
1?????SOAR的内涵
随着网络空间安全对抗的持续升级,当前企业和组织的安全运营工作在人员组织、告警处置、快速响应、知识沉淀、整合协作诸多方面面临的挑战越来越突出。为了应对挑战,顺应安全运营未来发展的新趋势,SOAR(Security Orchestration, Automation and Response,安全编排自动化与响应)应运而生。
Gartner最新将SOAR定义为一种从各种来源获取输入,并应用工作流来处理各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果,譬如分诊管理,事件响应,威胁情报,合规性管理和威胁猎捕。
结合业界的定义,以及一年多来的深入实践,笔者认为,SOAR是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起的,有序处理多源数据,持续进行安全告警分诊与调查、威胁猎捕、案件处置、事件响应,并最终实现高效、有效安全运营的智能协作系统。
如果用一句话来概述SOAR,可以解读为:人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。
人员是根本:SOAR强调以人为本。安全运营工作本质上是由安全运营团队及其相关干系人的一系列安全运营活动构成的。SOAR的目的是为了使能安全团队,为他们赋能,而不是取代他们。我们常说网络安全的本质是对抗,而对抗最终都是人与人之间的攻防。
协作是使命:安全运营过程中面临各种人、流程和技术之间的碎片。安全运营要取得成效,必须让团队、流程和技术协同起来,必须注重团队协作。SOAR不是取代协作,而是强化协作。
流程是基础:要实现实战化、有效化的安全运营,涉及的内容很多。其中,对于SOAR而言,其核心目标就是为了加速安全流程的标准化、自动化、智能化。因此,要想发挥SOAR的核心作用,必先梳理出组织自身的标准安全操作流程和规程。
编排是核心:编排是SOAR的核心和最重要的能力。编排的过程就是将团队、流程、技术和工具等各种要素以流程为纲整合到一起以服务于安全运营的过程。看一款产品是不是SOAR产品,第一条就是看其是否具备安全运营流程的编排能力。
自动是手段:对SOAR而言,自动化能力,高低决定了安全编排所能发挥的价值大小。一方面,安全编排往往通过自动化的手段来执行,以提升编排的执行效率,通过减少人的参与来降低人为错误因素的影响。另一方面,自动化是手段,不是目标,不要唯自动化。
响应是场景:安全编排与自动化适用于安全运营防御、检测和响应的各个环节,并不限于响应。但由于现阶段人们对于响应工作的重视,以及响应环节在安全运营工作中相对薄弱,SOAR首要的应用场景是响应。
提效是目标:SOAR的目标是辅助安全运营人员的工作,以数字化可度量的方式提升他们的工作效率,从而提升安全运营的效能,增强安全弹性。
2?????SOAR三种能力之间的关系
SOAR从一开始就被打包成多种相对独立的技术能力的集合体,是一套解决方案。Gartner认为当前主要是三种技术的集合:安全编排与自动化(SOA)、安全事件响应平台(SIRP)、威胁情报平台(TIP)。
随着SOAR的快速发展,Gartner认为,从欧美市场来看,构成SOAR解决方案的三个部分结合越发紧密,耦合度越来越高,SOAR作为独立细分市场的地位愈发凸显。尽管SIRP历史比SOAR更为悠久,但却从未进入Gartner的细分市场分析视野。此外,在最新的2020年安全运营炒作曲线中,干脆去掉了TIP(注意,TIP不是TI服务,是TI服务本地化的一种表现形式),而将其融入SOAR之中。
但笔者认为,SOA、SIRP和TIP依然还是三个相对独立的领域。与其将SOAR看作是这三者的合集,莫不如将SOAR看作是这三者的交集。事实上,SOA的应用场景远不止基于威胁情报的安全响应,响应只是SOA的一类应用场景。而TIP也依然有其独立存在的与SOAR不同的应用场景。
从中国市场来看,笔者认为,由于TIP发展与形成早于SOAR,因而在未来3年TIP依然主要是以松耦合、集成化的方式与SOAR打包成产品组合或者解决方案。独立的TIP依然存在,而独立的SOAR可以不包括TIP。
此外,SIRP在中国市场几乎没有存在过,而安全管理(SOC)平台产品在事件响应方面的能力过于薄弱,因此,SIRP的主要功能就要靠SOAR来体现了。
?在SOAR的三个技术中,最核心的当属安全编排与自动化(SOA)。因为是SOA塑造出了全新的安全响应,将安全响应工作从“手动挡”升级到了“手自一体”。也是因为SOA,让威胁情报在客户侧有了更加落地的应用场景。如果说当前威胁情报在客户侧的落地主要是依靠SIEM,那么可以预见未来威胁情报与SOAR(或者安全响应)的结合将迅速崛起,成为另一个支柱。
文章来源:《自动化应用》 网址: http://www.zdhyyzz.cn/zonghexinwen/2020/0807/534.html