SOAR(security orchestration,automation and response),由Gartner于2015年提出,最初的含义是安全运营、分析与报告。2017年,Gartner又重新定义了SOAR的能力,包括安全编排、安全自动化和安全响应。
Gartner认为,SOAR是一组兼容软件程序的堆栈,用以收集对网络安全造成威胁的数据,并对安全事件做出响应。用户使用SOAR平台的目的是提高物理系统及数字安全运营的效率。
SOAR的三大功能
安全编排
安全编排是通过工具将不同系统整合,如漏洞扫描、终端防护、行为分析、防火墙、IDS/IPS或外部威胁情报源等,进行自定义集成和接口对接,从而提升数据的收集能力。
通过这些来源收集的数据越多,侦测威胁的机会就越大,同时也能获得更完整的背景信息,并改善协作。
安全自动化
安全自动化通过分析从安全编排中收集的数据及告警,创建自动化流程来替代人工流程。安全运营平台以前由分析人员执行的任务,比如漏洞扫描、日志分析和审计能力,现在能够通过SOAR的安全自动化功能实现标准化并且自动执行。
安全响应
安全响应为分析人员提供单一视图,这个单一视图可以促进安全、网络和系统之间的协作及情报共享。安全人员在检测到威胁后,能够规划、管理、监控和报告已采取的行动。
SOAR的核心优势
SOAR是基于系统执行安全操作的能力,能够检测、调查和消除网络威胁,无需人工干预。SOAR的自动化编排与响应能力能够实现以下功能:
- 检测用户环境中的威胁;
- 对潜在威胁进行分类;
- 确定是否对事件采取行动;
- 控制并解决问题。
SOAR的这些功能无需人工干预即可实现。安全分析人员不需要按照步骤、说明和决策流程来确定事件是否是合法事件;重复、耗时的操作可以通过SOAR的自动编排与响应功能完成,分析人员可以专注于更重要、增值的工作。
安数云的DCS-SOAR平台
面对海量数据,如何进行精准高效的安全运营,是当前各行业用户重点关注的问题。安数云作为国内专业的云安全整体解决方案及服务提供商,敏锐把握用户需求,推出安数云DCS-SOAR(安全编排自动化响应)平台,通过充分应用SOAR的各项安全能力,为用户提供更高效的智能安全运营管理服务。
安数云认为,业内SOAR平台主要分为三个类型:集成型、独立型、混合型。安数云以混合型切入,安数云DCS-SOAR平台通过资产、事件、漏洞、定时四个维度开展安全编排与自动响应功能,通过组织收集多种来源的数据,并根据纵深防御原则,应用工作流来拉通各种流程和规程。
以资产类响应为例,用户上线资产后,通过资产探测触发剧本,剧本自动与资产管理模块联动、根据资产类型进行分类入库及漏洞扫描、期间通过AI模型引擎进行数据处理及搜集,将需要防护的资产生成对应策略,并添加至SDN服务链进行防护,整套流程全部通过剧本编排做到自动化响应。
除此以外,AI引擎还会提供包括事件管理、告警统计、威胁情报管理、自动巡检,以及功能分析等多种能力。
安数云DCS-SOAR平台致力于解决用户云上资产的安全运营问题,面对用户防护设备繁杂臃肿、安全事件难以及时响应、运营成本逐年上升的困境,安数云DCS-SOAR平台以安全大脑驱动为核心,建立运营体系,通过OneStep框架实现第三方安全产品的“无门槛接入、低门槛纳管”;通过剧本编排实现自动化快速响应以及网络调度。
安数云DCS-SOAR平台以安全运营为导向,通过态势感知+SOAR+云安全管理等各项功能,协助用户实现低成本的资产管控以及安全运营,达到可视、可用、可管、可控。
得力于DCS-AI安全大脑,安数云DCS-SOAR平台结合多源异构日志采集处理、大数据检索存储,对安全事件应急响应速度提升1200%,对于0day漏洞,也能够快速从情报库中检索,第一时间快速筛查并隔离风险资产。
SOAR平台是网络安全运营趋势
在不断增长且日益数字化的世界中,网络安全面临诸多挑战。威胁变得越来越频繁和复杂,企业需要制定一种高效且有效的安全运营策略,应对安全挑战。SOAR成为安全运营团队管理、分析和应对告警及威胁的新方式。
威胁和告警数量不断增长,资源又不足以应对所有问题,在日常运营中,分析人员需要快速决定哪些告警需要处理,哪些可以忽略,但由于超负荷工作,很可能错过真正的威胁,在应对威胁和恶意攻击时出现误判,最终使网络及数据产生安全泄露,造成无可挽回的损失。
因此,系统化安全编排并通过自动化响应,对于处理威胁告警的过程是至关重要的。通过过滤掉占用过多精力和资源的单调任务,安全运营团队在处理和调查事件时更加有效和高效,从而能够极大地改善整个网络的安全状况。
