青藤:安全编排、自动化及响应(SOAR)解决方案
|
每个企业部署流程和技术并不相同,因此并不能“即插即用”,而是需要数周专业的安全服务才能完成初始化的场景部署。在早期时候,安全编排和自动化是以单点安全解决方案形式在那些预定义和自动化的工作流中工作。在准备部署实施SOAR之前,需要先拥有一组已经定义好的工作流和业务流。开箱即用和集成虽然可以实现,但是真正运行还是少不了定制化的工作。利用专业服务和内部资源的组合,为SOAR工具的实施和运行制定计划。 因此,安全编排、自动化和响应工具适合那些为提高安全处理效率而对运营流程进行了清晰又正确分层的企业组织。安全人员在决定购买SOAR之前,应该认真评估当前安全运营中效率不高的那些流程是否能够通过SOAR工具就可以得到很好提升。
基于工作业务流驱动的流程 在使用SOAR平台前必须具有定义良好的内部流程,而构建这些内部流程需要来自内部人员的技能,而这些技能在平台上是买不到的。每个事件都应该遵循一个流程来为特定的事件(通常称为剧本)构建正确的编排。在定义流程时,安全和运维人员通常会使用观察、调整、决策和行动(OODA)循环,在使用SOAR工具前也可使用这个循坏: (1)观察事件并确定发生了什么。 (2)确定观察的方向,并添加上下文来确定观察的含义。 (3)根据业务的风险容忍度和能力决定适当的响应行动。 (4)根据决定采取行动,并应用到观察过程中,然后重复。
与OODA相关的检测流程 虽然SOAR平台能够消除现有员工当前执行的单调、重复任务的需求,但是SOAR本身并不能代替人类。SOAR技术可以帮助安全和运维团队更快地从决策点a移动到决策点B,但是所选择的路径以及如何在该路径上做出决定是需要人工交互的技能。 在SOAR产品中定义良好的剧本可以创建更高效的决策速度。但是具体响应执行过程还要由业务环境中事件的上下文、业务风险的容忍度以及安全运维之外的团队的能力来驱动。因此,我们只能将SOAR应用于已经预想可能会发生的并且知道如何响应的安全场景中。有些SOAR供应商为特定的场景预定义了剧本,可以根据需求将剧本拖放到响应场景中,这在一定程度上可以帮助企业克服构建整体编排和响应操作的挑战,但这也并不是维护SOAR平台长期发挥作用的解决方案。 SOAR功效发挥除了依赖于清晰流程和丰富的预定义剧本之外,通常还需要具有特定编码和脚本技能的内部团队成员来运维SOAR平台。除了剧本和响应的维护,还需要安全人员能够提供API能力用于连接各种安全工具 (如SIEM、EDR、NGFW等)。 4.SOAR场景价值 由上文可知,SOAR是由三种技术解决方案(安全编排和自动化、威胁情报平台和事件响应平台)融合而成的概念。市场上最初并没有SOAR厂商,因此许多来自不同领域的厂商,开始从不同的角度来构建他们自己的SOAR解决方案。为此,不同SOAR提供了不同价值,主要可以分为三类:增强SIEM管理、创建更好调查平台、优化安全团队管理和流程管理。尽管这些价值可能会重叠或具有一定的包含性,但SOAR厂商如何打造推广自家SOAR价值将会影响他们的市场潜力。
SOAR价值 不管提倡哪类价值,SOAR都不是SIEM下一代,也不是取证或合规管理工具的替代者。SOAR的定义相当宽泛,因此吸引了众多厂商争夺市场领导地位。许多供应商已从他们现有的解决方案转向了SOAR提供商。因此,不同安全厂商产品有不一样价值卖点,进而可吸引不同甲方企业和不同角色的人员购买。 目前,SOAR在企业组织中最常见的使用场景是通过数字工作流方式,定义事件分析和响应过程。通过对剧本等工具有效利用,以及威胁情报在安全运维中的使用,从而增强企业组织在面临威胁时预测、防御、检测和响应能力。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
