权威咨询机构gartner发布的 2019 年安全编排与自动化响应解决方案(soar)市场指南中指出,“截止2022年,安全团队规模超过5人的安全企业中,超过30%的企业将使用soar安全编排自动化响应方案”。今天就来介绍下,企业如何借助绿盟soar系统在三分钟内完成安全编排及自动化响应。
从安全事件处置流程看企业在安全运营中的痛点及诉求
在企业传统的安全运维及事件处置中,一般遵循以下流程:
表:传统安全运维流程
经过以上的7步,一个信息安全事件的处置流程才算是结束。在该过程中,会有多个部门不同角色参与,处置流程较繁琐,效率难以量化,不同事件的处置流程难以统一标准化。
同时企业在安全运维中还常常面临着以下痛点:事件告警太多,有效事件告警被淹没,导致安全事件难以及时处置。企业侧往往缺乏安全分析及处置的专业人员,安全分析经验难固化,而且安全专家很容易陷于重复的安全处置工作中,以至很难发挥出其真正的价值。最重要的是,企业受到流程及人员的制约,传统安全响应处置的时间过长。
因此企业在安全运营发展及演变中增加了以下的诉求:
提高信噪比:增加有效高保真告警,使有限的安全专家资源专注投入于真正需要危险和问题上。
降低MTTR: 固化安全处置流程,不断积累运营经验,持续运营,使得响应处置时间不断降低。
绿盟科技SOAR安全编排及自动化响应方案
图:绿盟SOAR组件入口
ISOP智能安全运营平台已经融合了SOAR安全编排自动化响应功能,从绿盟ISOP智能安全运营中心运维响应-联动编排入口,即可使用安全编排及自动化响应处置功能,开启企业自动化安全编排响应之旅。
图:绿盟SOAR安全编排及自动化响应方案
ISOP中SOAR组件通过可视化编排将人、安全技术、流程进行深度融合;通过人工运维经验固化而来的Playbook剧本串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,案例管理基于对安全事件上下文有更全面、端到端的理解,帮助企业将复杂的事件响应过程和任务流转变为一致的、可重复的、可度量的和有效的工作流,变被动应急响应为自动化持续响应。
五大核心助力企业实现安全编排响应
1、全生命周期案例管理
图:案例管理
案例是SOAR组件中最基础的功能,贯穿整个安全事件处置生命周期,包括信息安全事件研判所需的日志源、安全规则、情报取证及事件处置Playbook剧本的选择及执行。企业中告警安全事件只要能够匹配到案例,即可完成自动化响应处置,案例对安全事件上下文有更全面、端到端的理解,有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流。
在企业安全运营中,可将常见的安全事件与SOAR不同类别的案例建立对应关系,同一性质的案例(如:挖矿、入侵、拒绝服务、勒索、钓鱼、盗链、信息泄露等)可以选择一类相通的处置方法,案例的流程处理功能可以为不同性质的案例指派不同的Playbook剧本,并监督执行完成企业安全事件自动化闭环响应处置。
2、可视化安全拖拽编排
建站之星网站建设系统是一种全新的互联网应用模式,它一改过去传统的企业建站方式,不需企业编写任何程序或网页,无需学习任何相关语言,也不需第三方代写或管理网站,只需应用系统所提供的各种强大丰富的功能模块,即可轻松生成企业个性化的精美网站。 SiteStar v2.3本地软件体验包说明:为方便客户能够第一时间体验智能建站软件的强大功能,我们特别提供了本地软件体验包,您只需下载下来并安装在您的计算机上(和
图:可视化案例编排1
图:可视化案例编排2
ISOP中SOAR组件内置了一些常见攻击对应的案例,除此之外,企业可通过可视化拖拽编排方式快速创建案例及其对应Playbook剧本,安全研判不同步骤间往往具有依赖关系,安全事件分析过程通过可视化拖拽方式,为安全处置提供上下文,避免传统运维要在不同页面间进行跳转切换,降低安全事件处置复杂度。案例一旦创建成功启用,后续命中案例的事件即可通过自动化方式进行处置,降低了不同部门间协同沟通、流程流转消耗的成本。
图:案例处置流程跟踪
案例可以帮助企业对一组相关的事件进行流程化、持续化的调查分析与响应处置跟踪记录,案例执行过程中,安全事件每个中间过程执行状态(成功、执行中、失败)均可在可视化编排流程中进行展示,进而实现端到端运维流程可视化。
3、Playbook剧本自动化处置
图:剧本Playbook运行状态
Playbook剧本等同于安全工程师的工作流程,可驱动与案例匹配事件的自动化闭环安全处置,ISOP SOAR模块可能会涉及到多个剧本并发执行,不同剧本的运行状态可通过界面进行全局概览(正在执行、执行成功、失败)。
企业中安全事件处置流程经验可以固化为Playbook剧本,并应用于自动化响应处置中,处置的动作可包括设备封堵、工单发送、邮件通知等,这样安全专家就可以从繁琐重复的安全运维中释放出来。
4、插件化响应设备集成
自动化安全编排响应“最后一公里路”封禁响应一般由安全设备进行执行,绿盟ISOP一键封堵模块前期已经积累了大量的响应处置设备,如防火墙、ADS、UTS、IDS、WAF等,响应的动作包括:会话封堵、IP封禁、域名黑名单、流量牵引清洗等,这些设备无需二次开发,即可直接通过SOAR模块实现即插即用。只需要根据第三方设备提供的北向管控接口开发插件,就可完成第三方设备自动化联动编排响应。
接入到SOAR系统的安全设备,通过Playbook剧本调用,即可完成自动化响应处置,无需安全运维人员登录到独立的安全设备上配置阻断策略。
5、自动化运维大屏展示
图:自动化运维大屏展示
自动化运维大屏可从全局视角呈现企业自动化响应处置概况,如自动响应运营效率、案例事件统计信息、案例事件处置趋势、剧本执行信息等,将运维指标通过可度量可量化方式进行展示。
绿盟SOAR系统为企业安全运营带来的价值
1、降低安全事件处置时间MTTR
对于已知案例事件,通过案例匹配触发机制,企业可在三分钟内完成安全编排及自动化闭环响应流程。
表:传统运维时效与自动化运维响应处置时间对比
2、将安全运维人员从重复工作中释放出来
将安全专家的经验固化成Playbook,实现已知攻击分析、研判、处置全流程自动化,这样安全专家即可将精力投入到红蓝对抗、威胁狩猎、威胁建模、APT分析、漏洞挖掘等需要高级安全技能的工作场景,为企业安全运维工作创造更高的价值。
3、安全处置流程标准化,降低部门间协同沟通成本
SOAR系统的精髓是不同威胁场景对应的研判策略和处置策略的选择,这也正是Playbook在企业攻防对抗竞争中的核心价值体现之处,运维流程的标准化是Playbook剧本固化的前提,可借助SOAR Playbooks生成为抓手,变繁杂不规矩的处置流程标准化,夯实企业信息安全运营流程标准化建设。
