近日，《企業(yè)安全運(yùn)營自動(dòng)化（SOAR）應(yīng)用指南》報(bào)告（以下簡稱“報(bào)告”）正式發(fā)布。該報(bào)告旨在共同探討安全運(yùn)營自動(dòng)化的能力建設(shè)與落地應(yīng)用，發(fā)現(xiàn)我國網(wǎng)絡(luò)安全行業(yè)中真正有能力、可落地、引領(lǐng)創(chuàng)新的新一代SOAR技術(shù)解決方案。天融信（002212）SOAR方案以優(yōu)異的自動(dòng)化安全運(yùn)營能力、智能化模型編排能力入編代表性安全廠商方案。

隨著信息化建設(shè)的不斷深入，各企業(yè)和組織已圍繞業(yè)務(wù)建設(shè)了大量的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端、服務(wù)器、業(yè)務(wù)系統(tǒng)等IT資源，從這些IT資源產(chǎn)生的大量安全數(shù)據(jù)挖掘潛藏攻擊威脅并進(jìn)行自動(dòng)化響應(yīng)是安全運(yùn)營中非常重要的工作。SOAR（安全編排自動(dòng)化與響應(yīng)）技術(shù)因其在安全自動(dòng)化響應(yīng)方面獨(dú)具優(yōu)勢，能夠幫助企業(yè)解決安全事件響應(yīng)過程中人員短缺、改進(jìn)警報(bào)分類質(zhì)量和速度等問題，受到更多企業(yè)用戶的關(guān)注。

自動(dòng)編排 安全運(yùn)營

惠紅剛

天融信科技集團(tuán)產(chǎn)品總監(jiān)

在發(fā)布會(huì)，惠紅剛分享天融信SOAR方案時(shí)表示，從實(shí)戰(zhàn)角度出發(fā)，SOAR技術(shù)有三個(gè)核心定位，一是將安全人員的研判分析和處置經(jīng)驗(yàn)總結(jié)固化并重用；二是將安全告警研判分析和處置過程中的人員操作盡可能自動(dòng)化；三是SOAR技術(shù)通常用于加強(qiáng)產(chǎn)品自動(dòng)化響應(yīng)處置能力。在APT發(fā)現(xiàn)阻止流程日?；?、實(shí)戰(zhàn)演練響應(yīng)效率高效化、告警誤報(bào)漏報(bào)應(yīng)對改善化等典型應(yīng)用場景中，SOAR技術(shù)的應(yīng)用為安全運(yùn)營能力帶來巨大提升。

以適應(yīng)實(shí)戰(zhàn)應(yīng)用需求為目標(biāo)，天融信圍繞安全編排與自動(dòng)化技術(shù)展開設(shè)計(jì)，SOAR作為核心技術(shù)手段，對終端安全、漏洞掃描、威脅情報(bào)等安全資源進(jìn)行統(tǒng)一整合與管控，打破安全資源之間的孤島格局。通過將多方安全能力串聯(lián)，形成具備編排靈活可視化、聯(lián)動(dòng)對象全面可擴(kuò)展、內(nèi)置經(jīng)驗(yàn)劇本實(shí)戰(zhàn)化、劇本啟動(dòng)場景多樣化等優(yōu)勢的一套針對安全運(yùn)營過程自動(dòng)化響應(yīng)的解決方案。

基于SOAR的安全運(yùn)營實(shí)踐

在SOAR技術(shù)落地實(shí)踐方面，天融信為某能源集團(tuán)建設(shè)了基于數(shù)據(jù)中臺(tái)的安全運(yùn)營系統(tǒng)，利用數(shù)據(jù)中臺(tái)實(shí)現(xiàn)安全數(shù)據(jù)采集、威脅行為分析發(fā)現(xiàn)，通過SOAR技術(shù)進(jìn)行安全策略自動(dòng)化編排，聯(lián)動(dòng)EDR、WAF等安全設(shè)備進(jìn)行告警研判及快速響應(yīng)，實(shí)現(xiàn)降低業(yè)務(wù)風(fēng)險(xiǎn)以及OPEX（運(yùn)維管理成本）的管理目標(biāo)，為客戶帶來安全運(yùn)營工作的整體能力提升。

01

流程優(yōu)化釋放勞動(dòng)力

通過流程化的方式將解決方案自動(dòng)生成事件進(jìn)行調(diào)查，應(yīng)用SOAR技術(shù)進(jìn)行智能分析，將事件中重復(fù)的、常規(guī)的部分交給機(jī)器完成，使分析師集中更多的時(shí)間投入到調(diào)查和響應(yīng)事件，而非將時(shí)間消耗在執(zhí)行調(diào)查所需的數(shù)據(jù)收集上。

02

自動(dòng)化加強(qiáng)人機(jī)融合

將人工智能技術(shù)引入自動(dòng)化編排之中，通過人機(jī)結(jié)合，使人員、流程、技術(shù)無縫融合在一起。這一過程不單單是對劇本流程的整合，也實(shí)現(xiàn)了對安全技術(shù)和安全人員的整合，大大縮短了響應(yīng)時(shí)間，增強(qiáng)企業(yè)網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力。

03

智能化滿足合規(guī)要求

通過豐富的模型編排、場景設(shè)置對安全事件做出高效的發(fā)掘和應(yīng)對。智能化的模型編排、算法優(yōu)化使數(shù)據(jù)保護(hù)符合多場景的應(yīng)用，大大提升入侵檢測處置的能力，滿足法律法規(guī)要求。

天融信SOAR技術(shù)可和大數(shù)據(jù)分析平臺(tái)等產(chǎn)品組合使用，豐富SOAR系統(tǒng)能力，實(shí)現(xiàn)自動(dòng)化分析處置、實(shí)時(shí)策略下發(fā)、聯(lián)動(dòng)設(shè)備響應(yīng)、實(shí)現(xiàn)數(shù)據(jù)交互與業(yè)務(wù)同步，增強(qiáng)決策能力。結(jié)合天融信在大數(shù)據(jù)分析方面的技術(shù)積累與優(yōu)勢，SOAR技術(shù)的應(yīng)用解決了失陷終端的研判與處置、復(fù)雜威脅的交互式實(shí)時(shí)調(diào)查、威脅事件的快速響應(yīng)與決策、異常行為的告警和審核等典型安全運(yùn)營問題，進(jìn)一步推動(dòng)自動(dòng)化安全運(yùn)營能力的落地。

根據(jù)Gartner預(yù)測，到2022年，有30%大型企業(yè)組織(安全團(tuán)隊(duì)超過5人)將在安全運(yùn)營工作中使用SOAR。大型企業(yè)在安全編排與自動(dòng)化響應(yīng)方面均有明顯的需求，SOAR解決方案對改進(jìn)企業(yè)安全運(yùn)營起到了積極的推動(dòng)作用，已經(jīng)逐步從觀望期轉(zhuǎn)為試水期。未來，SOAR技術(shù)的應(yīng)用會(huì)將人員、設(shè)備、資源、流程有效協(xié)同整合，進(jìn)一步提高安全響應(yīng)效率，提升企業(yè)的自動(dòng)化安全運(yùn)營能力。

關(guān)鍵詞：