当前位置 > 朝美网>科技>青藤云安全新技术洞见:安全编排、自动化及响应(SOAR)解决

青藤云安全新技术洞见:安全编排、自动化及响应(SOAR)解决
  • 2019-11-02 14:49:56
  • 来源:匿名
  • 热度:4294
  • 随着企业组织面临越来越多的威胁,为了能够快速、持续地做出响应,安全人员不得不应对复杂的操作流程以及资源、技能和预算的缺乏。青藤云安全坦率地说,许多企业,由于缺乏安全和操作人员,更愿意能够通过自动化而不是手动的方法来执行重复性的任务。以讹诈软件为例,为了有机会控制横向渗透到企业组织中的威胁,企业需要能够在几分钟内快速完成响应。在这种情况下,企业组织只能通过向机器分配更多任务来减少响应时间。

    然而,目前以soc为代表的安全监控系统不仅价格昂贵,而且会产生大量的误报。如果安全人员手动处理大量警报分类,很容易忽略真实和有害的事件。缩短响应时间(包括事故遏制和补救)是控制安全事故影响的最有效方法之一。尽管各行业检测威胁的平均时间呈下降趋势,但仍需要很长时间。对于大多数企业来说,威胁的快速检测、响应和补救措施仍然面临巨大挑战。

    在这种情况下,对安全协调、自动化和响应(soar)技术的需求急剧增加。腾飞的出现可以解决响应过程中人员短缺、提高报警分类质量和速度、缩短响应时间、减轻安全人员工作压力等问题。

    1 .腾飞的进化和发展

    根据gartner的预测,到2022年,30%的大型企业组织(拥有5个以上的安全团队)将在安全和运营工作中使用soar,远远高于目前的5%。当前soar技术的早期支持者是那些已经拥有成熟的安全操作中心并且能够理解soar好处的成熟安全组织。

    2015年可以被定义为腾飞的1.0时代。高德纳将腾飞(当时被认为是“安全运营分析和报告”)描述为安全运营团队提供机器可读安全数据报告和分析管理功能的产品。2017年,腾飞进入了2.0时代。Gartner提出了术语“安全协调、自动化和响应”(soar)来描述一系列源自事件响应、安全自动化、场景管理和其他安全工具的新兴平台。Gartner观察到三种以前截然不同的技术:安全协调和自动化(soa)、安全事件响应平台(sirps)和威胁情报平台(tips)正在逐渐融合在一起,如下图所示。

    飙升不同时代的类别

    根据Gartner 2019年的最新定义,腾飞指的是使企业组织能够从siem和其他监控系统收集警报信息,或者通过与其他技术的集成和自动协调来提供包括安全事件响应和威胁情报在内的功能。腾飞技术市场的最终目标是将安全协调和自动化(soa)、安全事件响应(sir)和威胁情报平台(tip)功能集成到一个解决方案中。

    这种整合将持续到2019年。例如,splunk收购phantom后,soar可能会嵌入其siem并用于it运营场景。腾飞技术仍在快速发展,其内涵可能在未来发生变化,但其专注于围绕安全操作的安全响应的目标不会改变。例如基础架构监控、应用程序性能监控和故障排除。

    2 .腾飞核心功能

    虽然soar可以为安全人员提供自动化工具来提高他们的工作效率,但它极大地增强了威胁检测和响应等活动的安全效果。然而,翱翔工具不是万能的“银弹”。许多人认为它会将报警功能与防火墙、入侵检测和防御系统(idps)和端点保护平台(epps)等防范工具集连接起来。事实上,soar技术的功能是使企业组织的安全团队能够收集监控数据,如警报,并部分自动化事件分析和分类过程。这些功能的目的是帮助安全人员根据预定义的工作流确定优先级并促进标准化的事件响应活动。目前,腾飞的三大核心技术能力是安全协调和自动化、安全事件响应平台和威胁情报平台。

    (1)安全组织和自动化:这是腾飞的核心和基本能力

    编排(Orchestration)是指根据一定的逻辑关系,通过可编程接口(api)和手动检查点,将不同客户系统或系统内不同组件的安全能力结合起来,完成特定安全操作的过程。

    soar中的关键词是编排,这是在使用自动化和响应之前必须构建的关键组件。编排就像音乐指挥指挥指挥乐队演奏音乐。将来,所有的安全设备都将被分解成api和数据。根据这些数据,将建立指标,api将处理和排列这些数据。从目前的市场可以看出,以青藤碱云南为代表的新一代安全制造商都采用了核心平台引擎技术。所谓的引擎是一个可以快速将安全理念转化为现实的功能,支持这一功能的技术是完整的api和安全协调功能。安全平台引擎的实现包括三个核心要素:灵活的数据生成能力、机器学习能力和快速模型验证能力。

    安全自动化在这里具体指的是自动排列过程,即一种特殊的排列。如果编排过程完全由每个相关系统的api实现,它可以自动执行。对应于自动排列,也有手动排列和部分自动(混合)排列。

    无论是自动编排还是手动编排,都可以通过剧本来表达。支持脚本执行的引擎通常是工作流引擎。为了便于经理维护脚本,腾飞通常还提供一个可视化脚本编辑器。

    该脚本是为编排者编写的,侧重于编排安全操作的逻辑,隐藏了专门连接各种系统的编程接口及其指令实现。Soar通常通过应用程序和动作机制实现可编程指令与实际系统的对接。应用程序和动作的实现面向编排指令开发人员。

    (2)安全事件响应平台(主席先生):这是腾飞的关键功能

    一般来说,安全事件响应包括警报管理、工作单管理、案例管理和其他功能。报警管理的核心不仅是报警安全事件的收集、显示和响应,还包括报警分流和报警调查。只有通过警报分类和警报调查,才能提高警报质量,减少警报数量。

    工单管理适用于大中型安全运维团队以协调、流程化的方式进行报警处理和响应,确保响应过程可记录、可测量、可评估。

    案例管理是现代安全事件响应管理的核心能力。案例管理帮助用户处理、持续调查、分析和响应一组相关警报,并持续积累与案例相关的跟踪证据(ioc)和攻击者的战术流程索引信息(ttp)。多个案例并行执行,从而持续跟踪和处理一系列安全事件。

    (3)威胁情报平台(tip):这是腾飞的重要功能

    威胁情报平台(Risk intelligence platform)是通过多源威胁情报的收集、关联、分类、共享和集成以及与其他系统的集成,帮助用户拦截、检测和应对攻击。威胁情报主要以服务而不是平台的形式存在。

    此外,隔离和修复也是响应后的重要操作。包括文件隔离、文件删除、进程网络隔离、进程终止/阻塞、进程隔离和基于哈希的阻塞等。

    3 .提升部署条件

    每个企业的部署流程和技术都不同,因此不能“即插即用”,而是需要数周的专业安全服务来完成初始场景部署。在早期,安全协调和自动化以单点安全解决方案的形式在那些预定义和自动化的工作流中工作。在准备部署和实施soar之前,您需要有一套定义好的工作流和业务流程。虽然可以实现开箱即用和集成,但是定制对于实际操作仍然是不可或缺的。结合专业服务和内部资源,为腾飞工具的实施和运营制定计划。

    因此,安全协调、自动化和响应工具适用于已经清晰和正确地分层其操作流程以提高安全处理效率的企业组织。在决定购买soar之前,安全人员应该仔细评估当前安全操作中效率低下的流程是否可以通过soar工具得到改善。

    基于工作流的工作流驱动流程

    在使用soar平台之前,必须有定义明确的内部流程,而构建这些内部流程需要内部人员的技能,而这在平台上是不可用的。每个事件都应该遵循为特定事件(通常称为脚本)建立正确安排的过程。在定义过程时,安全和运营人员通常使用观察、调整、决策和行动(ooda)周期,这也可以在使用soar工具之前使用:

    (1)观察事件并确定发生了什么。

    (2)确定观察的方向,并添加上下文来确定观察的含义。

    (3)根据风险承受能力和业务能力确定适当的应对措施。

    (4)根据决定采取行动,将其应用于观察过程,然后重复。

    Ooda相关检测过程

    虽然腾飞平台可以消除现有员工目前执行的单调和重复的任务,但腾飞本身无法取代人类。腾飞技术可以帮助安全和运营团队更快地从决策点A移动到决策点B,但是所选择的路径以及如何在路径上做出决策需要人工交互技能。

    soar产品中定义明确的脚本可以提高决策速度。然而,特定的响应执行过程也受业务环境中事件的上下文、业务风险的容忍度以及除安全操作之外的团队能力的驱动。因此,我们只能将soar应用于预期会发生的安全场景,并知道如何应对。一些soar供应商有针对特定场景的预定义脚本,并且可以根据需求将脚本拖到响应场景中。在某种程度上,这可以帮助企业克服建设统筹安排和响应运营的挑战,但这并不是维护腾飞平台长期功能的解决方案。

    除了依赖清晰的流程和丰富的预定义脚本之外,soar效率通常还需要具备特定编码和脚本技能的内部团队成员来操作和维护soar平台。除了维护脚本和响应之外,安全人员还需要能够提供api功能来连接各种安全工具(如siem、edr、ngfw等)。)。

    4 .大幅提升场景价值

    从上面可以看出,腾飞是由三个技术解决方案(安全协调和自动化、威胁情报平台和事件响应平台)集成而成的概念。起初市场上没有腾飞的厂商,所以许多来自不同领域的厂商开始从不同角度构建自己的腾飞解决方案。因此,不同的soar提供不同的价值,可分为三类:加强siem管理、创建更好的调查平台、优化安全团队管理和流程管理。尽管这些价值可能重叠或有一定的包容性,制造商如何创造和推广他们自己的飙升价值将影响他们的市场潜力。

    飙升的价值

    无论提倡哪种价值,腾飞都不是下一代siem,也不是取证或合规管理工具的替代品。腾飞的定义相当宽泛,因此吸引了许多制造商争夺市场领导地位。许多供应商已经从他们现有的解决方案转向了腾飞的供应商。因此,不同证券制造商的产品有不同的价值卖点,可以进一步吸引不同的甲方企业和不同角色的人员购买。

    目前,soar在企业组织中最常见的使用场景是通过数字工作流定义事件分析和响应过程。通过有效使用脚本和其他工具,以及在安全操作中使用威胁情报,从而增强企业组织预测、防御、检测和响应威胁的能力。

    资料来源:飞象网

    关注通化顺金融微信公众号(ths518),获取更多金融信息

    快三开奖结果

    随机新闻

    最热新闻

    © Copyright 2018-2019 lymkwewx.com 朝美网 Inc. All Rights Reserved.