当前,由于企业的数字资产攻击面不断扩大,以及数字化业务资产价值不断提升,企业面临的攻击威胁也在不断增加。为了应对挑战,企业需要进一步增强安全运营中心的自动化水平,提高消除安全威胁的速度和敏捷性,同时减轻运营人员的工作压力。安全编排与自动化响应(SOAR)正是帮助企业实现安全运营自动化的代表性技术之一。大量应用实践表明,SOAR可以帮助企业安全运营中心实现以下方面的能力优化:
安全能力编排
SOAR可以帮助安全运营中心实现各种异构安全工具的衔接和工作协同,从而提高获取威胁、运营监控和识别事件的效率。
自动化
SOAR可以通过预定义的参数自动触发工作流程、任务和警报,帮助企业安全运营中心实现更积极的主动安全防护模式。
事件响应
SOAR可以加快企业安全运营中心对中、低风险事件进行通用性和针对性的处置响应,并通过统一视图方式来访问、查询和共享威胁情报,为安全分析师提供支持。
北信源作为国内信息安全领域领军企业,凭借多年安全服务经验,研发了北信源安全编排与自动化响应系统(SOAR)安全产品。通过连接企业各类现有安全设备、网络设备、办公软件、通讯服务以及相关人员,缓解企业安全专业人才不足、响应效率要求高、重复工作冗杂等问题,帮助安全运营团队实现更高效、更准确的安全事件响应和威胁管理,有效降低安全风险和减少响应时间。其强大功能主要体现在以下方面:
1.多源事件聚合
可对接各类事件检测设备,包括但不限于威胁情报系统(TIP)、防病毒系统(AV)、终端安全检测与响应系统(EDR)、入侵检测系统(IDS)、身份与访问安全管理系统(IAM)、安全信息与事件管理系统(SIEM)、态势感知系统(CSA)等,将各类安全事件告警统一汇入SOAR系统中,自动合并重复告警,减少管理员需要查看的告警数量,并自动转化为不同等级和类型的案件,帮助管理员聚焦重要的事件告警。
2.第三方能力调度
可整合各类安全处置设备,包括各类安全设备、网络设备、办公软件和通讯服务。当处理事件和运维任务时,在SOAR控制台可调用相关设备对威胁进行遏制、根除、恢复,给相关用户发通知,对系统进行加固,生成内生威胁情报等,成为企业安全能力的统一调度中台。
3.跨部门任务协作
在安全事件处置过程中,可通过短信、邮件、即时通讯等方式邀请相关人员进行人工协作。如某些危险操作需要请示领导审批,某些信息收集需要人工填报汇总,某些无法自动化处置的任务需要相关人员线下处置等,实现跨部门的团队协作。
4.运维/响应自动化
内置剧本库,满足安全运营团队安全运维和事件响应的通用自动化处置需求。运营团队可根据需要,通过可视化编排,对剧本进行剪裁和修改,甚至创建新剧本,以适应单位的个性化需求。对于不同类型的案件,剧本可配置自启动,对安全事件进行自动调查、自动遏制、自动根除、自动恢复,并在剧本执行过程中请求人工干涉。
5.统一案件处理
支持事件响应和安全运维全生命周期的管理。可通过调用剧本、处置设备和人工协作处置案件,满足事件响应各个阶段的处置需求,可对事件展开自动化的跟踪、调查、狩猎和通知,提高运营团队对安全事件的响应效率,减少应对事件的平均响应时间。
6.运营成果可视化
可对北信源SOAR系统的运营成果进行总结,并以可视化的方式展示并导出,使安全部门负责人能够及时了解运营现状,同时也为管理者向上级汇报提供素材。
当前,大语言模型的技术突破标志着人工智能进入了新的时代,也推进了安全运营的产业升级。北信源发挥人工智能的创造力开启对话式智能安全运营的新方式,其中运用到SOAR的场景如下:
当北信源内网安全管理系统(EPP)、主机安全检测响应系统(EDR)和数据泄露防护系统(DLP)发现违规或受害终端时,大语言模型可根据北信源SOAR系统现有剧本库和安全运营人员的历史处理行为,通过“信源密信”安全即时通信平台为运营者提供剧本选择建议或创建新的剧本。运营者可根据大语言模型提供的剧本建议对事件进行研判、调查、狩猎、响应,并在事后总结,使大语言模型能够不断丰富事件处置经验。
目前,众多行业已逐渐将目光转向安全运营,如何大幅提升安全运营效率已成为当前时代重要的课题。北信源将持续发挥自身技术优势、不断创新突破,以SOAR结合更多安全层面,整合更丰富、更智能的安全能力,进一步提升对安全事件闭环处置的效率,为企业整体安全运营工作提供可靠保障,保证核心业务的平稳运行。
