加入收藏 | 设为首页 | 会员中心 | 我要投稿 驾考网 (https://www.jiakaowang.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

SOAR在企业安全运营工作中的常见应用

发布时间:2023-03-02 10:50:54 所属栏目:安全 来源:
导读:由于数字企业的数字资产遭受到的攻击面正在不断扩大,以及数字化业务资产价值不断提升,企业面临的攻击威胁也在不断增加。为了应对挑战,企业需要进一步增强安全运营中心的自动化水平,提高消除安全威胁的速度和敏捷
由于数字企业的数字资产遭受到的攻击面正在不断扩大,以及数字化业务资产价值不断提升,企业面临的攻击威胁也在不断增加。为了应对挑战,企业需要进一步增强安全运营中心的自动化水平,提高消除安全威胁的速度和敏捷性,同时减轻运营人员的工作压力。安全编排与自动化响应(SOAR)正是帮助企业实现安全运营自动化的代表性技术之一。

SOAR的价值与典型应用
大量应用实践表明,SOAR可以帮助企业安全运营中心实现以下方面的能力优化:

安全能力编排 
SOAR可以帮助安全运营中心实现各种异构安全工具的衔接和工作协同,从而提高获取威胁、运营监控和识别事件的效率。

自动化
SOAR可以通过预定义的参数自动触发工作流程、任务和警报,协助公司安保运营中心建立一个更加积极主动的安保模式。

实时响应
SOAR可以加快企业安全运营中心对中、低风险事件进行通用性和针对性的处置响应,并通过统一视图方式来访问、查询和共享威胁情报,为安全分析师提供支持。

1、警报信息处理
SOAR平台每天都会收集到成千上万个网络攻击指标(IOC)。这些指标是从内外威胁情报源、恶意软件分析工具、XDR系统、SIEM系统、电子邮件、RSS新闻源、监管机构及其他数据库收集而来。通过SOAR平台的协调、汇总和发掘,可以从海量的警报信息中检测出真正可疑的IOC。

2、攻击事件管理
在企业体系化安全能力构建中,会使用多种安全工具来检测潜在的安全威胁。因此,安全分析师可能需要花费大量时间来分析与同一威胁相关的不同监测数据。SOAR可以将来自多个相关事件、性质相同的数据汇总起来。这使得安全运营人员能够识别出最关键的威胁,从而快速处理威胁,缩短威胁检测和响应的总体平均时间。

3、安全漏洞管理
在传统的安全运营模式中,安全分析师需要人工管理和清点安全漏洞。但是如果通过SOAR技术,几项简单的策略就可以实现漏洞管理自动化,快速处理大量漏洞,并实现漏洞监控和快捷响应。具体来说,SOAR可以跨多个安全工具将威胁数据关联起来,以评估漏洞利用风险,并相应地确定漏洞威胁的优先级。

4、威胁搜寻
SOAR平台还可以作为一种主动搜寻威胁的机制。对于安全分析师来说,搜寻威胁是一项至关重要的任务,但考虑到威胁范围不断扩大,这项任务很耗费时间。SOAR可以添加用于持续分析的数据集,从而支持大规模数据分析的环境。此外,SOAR可以广泛地探测恶意软件或可疑域名,并在必要时结合分析师经验共同(human-in-the-loop)决策,帮助扩大威胁搜寻范围。

5、安全事件响应
目前主流的SOAR方案已经可以有效处理一些常见安全威胁,并准确做出补救和响应,比如网络钓鱼、恶意软件、拒绝服务(DoS)攻击、网站损毁和勒索软件。

尽管SOAR技术有巨大的发展前景,但其理念能否真正兑现仍然充满挑战。这与企业现有的安全运营能力和水平是息息相关的。研究人员发现,SOAR在应用落地中面对的主要挑战包括:

挑战一
安全运营水平还没有达到使用SOAR的条件

很多企业组织的安全运营现状是,通过IP地址实现对安全设备和终端的管理,通过对管理员和用户的账户对应用进行管理,但安全设备及账户对于业务应用来说,是多对一或多对多的关系。当安全事件发生以后,必需要依靠对系统和资产熟悉的人员进行问题排查。这对于自动化设备来说,应用会存在非常大的挑战。

挑战二
SOAR产品使用需要多部门协同

SOAR的应用目标是人员、数据、流程、工具的高效协同。但分析企业目前现状,业务、信息化、安全运营都是独立的部门,有相应的职责划分及领导者,实现跨部门的协同工作不仅仅是简单的技术问题,还是管理上的改变。想要打通业务与安全,需要从顶层设计开始改变组织架构,而现阶段还没有强有力的因素对此进行推动。

挑战三
企业没有清晰的事件处置流程

SOAR将事件的处置过程通过剧本进行编排,如果用户本身对于自身的事件处置流程都不甚清晰,那也就无法使用自动化工具提高效率。只有那些组织管理能力较强,具备正式、成熟安全响应流程的企业,才能够针对通用威胁建立标准剧本,达到使用SOAR产品的条件。 

挑战四
SOAR产品难以实现标品化

SOAR产品对比其他的安全产品,如防火墙、IDS等,是不能即插即用的,因为每个用户部署的安全设备不同、事件响应的流程不同,需根据用户实际情况接入数据源、设备,以及更具应用需求和场景修改优化剧本。应用需求和场景修改优化剧本。这样一来,就很容易出现数据不一致的情况。如果是这样的话,那么就需要我们的系统管理员进行统一规划。
 

(编辑:驾考网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
        站长推荐
        热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

        Copygight © 2012-2023 https://www.jiakaowang.com.cn/ All Rights Reserved. 驾考网