溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

安全編排、自動化及響應(yīng)(SOAR)平臺的進(jìn)化

發(fā)布時間:2020-08-05 03:04:30 來源:ITPUB博客 閱讀:325 作者:IT168GB 欄目:網(wǎng)絡(luò)安全

自動化和編排已發(fā)展成了不可或缺的安全工具。

2017年,Gartner提出了“安全編排、自動化及響應(yīng)”(SOAR)這個術(shù)語,用以描述脫胎于事件響應(yīng)、安全自動化、案例管理和其他安全工具的一系列新興平臺。

安全編排、自動化及響應(yīng)(SOAR)平臺的進(jìn)化

企業(yè)戰(zhàn)略集團(tuán)(ESG)首席分析師 Jon Oltsik 最近的兩篇文章:《安全運(yùn)營、自動化和編排的進(jìn)化》、《以分析師為中心的安全運(yùn)營技術(shù)的興起》,點(diǎn)出了SOAR平臺的大幅成長。SOAR工具在應(yīng)對當(dāng)下最緊迫的安全問題上越來越有效,公司企業(yè)對SOAR工具的需求也因此而越來越旺盛。正如Oltsik所指出的,最近幾年科技巨頭對SOAR供應(yīng)商的一系列并購,已經(jīng)反映出了此類平臺的前景。

SOAR地位的急速上升受到當(dāng)前解決方案提供的一些關(guān)鍵改進(jìn)的驅(qū)動,包括降低實(shí)現(xiàn)門檻,以及推動這些平臺更容易被更多安全團(tuán)隊和零售業(yè)、醫(yī)療行業(yè)和政府之類對新技術(shù)反應(yīng)遲緩的行業(yè)所采納。

原生功能的擴(kuò)張

最初,市場上很多SOAR平臺的功能非常有限,自動化和編排只適用于處理少數(shù)事件。雖然這些產(chǎn)品為安全團(tuán)隊提供了一些節(jié)省時間的可能性,但其有效性卻受到了適用面窄和缺乏深度的限制。

SOAR當(dāng)前進(jìn)化中的一部分,正是其所提供功能的日趨成熟。伴隨著越來越復(fù)雜的自動化策略和與其他安全工具的井噴式集成,自動化和編排功能已成長成熟,擴(kuò)展了分析師使用SOAR過濾大量噪音找出真正威脅的能力。

SOAR平臺如今還提供更深層次的功能集,更便于處理大型調(diào)查和重大事件。其中就包括案例管理模塊,還有能方便SOC內(nèi)部及外部通信、協(xié)作和任務(wù)管理的一系列工具。如今的事件太過復(fù)雜,以致響應(yīng)團(tuán)隊無法承擔(dān)在各工作流和報告環(huán)節(jié)間人工協(xié)調(diào)的開銷,尤其是在有著嚴(yán)格合規(guī)要求的公司企業(yè)中。功能上的深入,讓SOAR成為了推動長期系統(tǒng)性改進(jìn)的工具,而不僅僅被用作短期警報分流工具。

無需更多經(jīng)驗

SOAR平臺的進(jìn)化,減輕了對用戶經(jīng)驗的需求。供應(yīng)商以預(yù)構(gòu)建策略、導(dǎo)向性調(diào)查工作流和自動化警報分級的形式,在產(chǎn)品中內(nèi)置了安全專業(yè)知識。

自動化與編排功能還進(jìn)化到了無需用戶懂得該自動化哪些東西,就能與現(xiàn)有安全框架融合的程度。SOAR平臺仍會在重大動作上征詢分析師的批準(zhǔn),但分析師已不再需要是自動化和編排方面的專家。

另外,SOAR平臺收集和上下文豐富威脅情報的能力,也更方便了初級分析師在事件響應(yīng)過程中做出正確的決策。技術(shù)發(fā)展太快,公司企業(yè)往往急于買入新技術(shù),卻疏于培訓(xùn)和招募在其獨(dú)特環(huán)境中集成并運(yùn)用上新技術(shù)所需的人才。SOAR在輔助初級分析師正確決策上的功能進(jìn)化,正好彌補(bǔ)了公司企業(yè)在這方面的不足。

“單一面板”

“單一面板”這個術(shù)語,指的是能裝下分析師所需全部信息的一個統(tǒng)一的控制臺,是安全運(yùn)營世界里的神物。然而不幸的是,供應(yīng)商往往會夸大自身交付此類接口的能力。不過,SOAR平臺的進(jìn)化正將他們拉近實(shí)現(xiàn)中心化儀表盤的前景。

SOAR平臺追求單一面板的主要優(yōu)勢在于編排,編排的概念具有集成整個安全技術(shù)棧的潛力。SOAR平臺可利用與其他產(chǎn)品的合作關(guān)系來實(shí)時交換詳細(xì)信息,分析來自威脅情報源的數(shù)據(jù),甚至讓分析師具備從SOAR界面直接采取行動的能力。當(dāng)前安全事件的復(fù)雜性,需要這種跨人員、技術(shù)和過程的無縫協(xié)同,否則,各界面間切換浪費(fèi)掉的每一秒都在增加風(fēng)險。

SOAR將走向何方

雖然有了大幅進(jìn)展,SOAR依然是一個相對較新的領(lǐng)域,還有很多創(chuàng)新等著我們?nèi)ヒ?。自動化和編排已?jīng)進(jìn)化成了不可或缺的工具,而很快,他們還將在很多平臺上得到來自機(jī)器學(xué)習(xí)、人工智能和其他新興技術(shù)的補(bǔ)充。

我們很容易對網(wǎng)絡(luò)安全的未來感到焦慮,因為攻擊方法越來越復(fù)雜,國家支持的黑客行動此起彼伏,安全人才短缺愈演愈烈。不過,SOAR對SOC能力的倍增作用,應(yīng)該能給安全團(tuán)隊帶來一些慰藉。

本文轉(zhuǎn)載自“安全?!?,原文作者:nana

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI