奇安信發佈SOAR 3.0 安全處置效率提升十倍
釋出日期:2020-12-24 作者:奇安信
“安全和運維兩張皮、安全能力融合不充分、海量告警疲於應對、溝通靠吼操作靠手、制度流程空轉……”某大型央企信息安全中心主管表示,當前安全運行存在五大痛點:人少事多、告警疲勞、響應太慢、知識流失、缺乏協作。安全運行亟需升級換代。
12月24日,奇安信在京正式發佈新版安全編排與自動化響應產品(SOAR3.0),該產品基於自動化、智能化的網絡安全檢測和響應能力,以幫助政企機構打造落地可用的網絡安全運行體系,安全處置效率提升十倍以上。
奇安信集團總裁吳雲坤錶示,SOAR不僅僅是一個產品,更是一個平台,代表一個新興的領域,將安全、IT和人深度結合。利用體系化的方法,做到常態化運行,實現實戰化攻防,為用户達到“三化六防”提供堅實的支撐。
安全運行迎來SOAR時代
大多數機構並沒有建立起一個行之有效的安全運行體系。從發現威脅到處置威脅,需要消耗太多的人力成本和時間成本。
尤其是在響應環節。一方面是威脅處置需要不同的安全設備之間的協同聯動,依靠人工操作耗時費力;另一方面是響應人員匱乏,技能水平受困於重複性勞動難以提升,而優秀的工程師的經驗也難以形成標準化的流程和動作。
“SOAR並不單單是一款產品或者一個工具。”奇安信集團總裁吳雲坤説,“從SOAR1.0時簡單的系統模塊,到SOAR2.0時自動化響應的工具再到今天奇安信即將發佈的SOAR3.0,SOAR代表着安全運行的發展趨勢。”
吳雲坤強調,從“十三五”結尾到“十四五”的開篇,這推動了網絡安全進入了另一個“元年”,標誌正是實戰化、常態化、體系化的安全運行在政企機構的落地,SOAR則是其中的關鍵。
Gartner數據顯示,作為一個相對新的技術,自SOAR誕生起,就受到市場的廣泛關注。預計到2023年,SOAR市場收入規模將達到5.5億美元。
安全處置時長縮短至分鐘級
在威脅情報比對和高危IP封堵環節,依靠人工每天只能處理部分IP,且每次處理都要半小時以上;依靠SOAR每個IP的研判與處置僅需不到10秒,且可以持續不斷地去做,效率大大提升。
在生成安全事件報告環節,手工撰寫需要4~8小時,SOAR一鍵導出僅需幾秒鐘,加上人工修訂,合計時長可以控制到1小時內。
總體來看,SOAR能夠將安全事件調查與響應操作的效率提高10倍以上;對於需要重複性持續性的操作,提升的效率更是數以百倍計。正因如此,SOAR受到了大型政企機構的歡迎。
六大特性實現網絡安全常態化運行
據介紹,奇安信SOAR3.0以實戰化為核心,能夠幫助企業和組織將繁雜安全運行過程梳理為任務和劇本,把分散的安全工具與功能轉化為可編程的應用和動作,並且藉助編排和自動化技術,將團隊、工具和流程的高度協同起來,覆蓋安全運行的防護、檢測、響應等各個環節。
據介紹,奇安信SOAR產品具有以下關鍵特性:
首先,安全能力編排化能夠將客户分散的安全能力和響應的過程標準化,形成能隨時調用的劇本庫和應用庫,實現團隊、工具和流程的整合與協同聯動,減少人工干預。
其次,安全流程自動化能夠通過自動化告警處置、自動化劇本執行、自動化服務調用等功能,讓安全能力自動化執行。
再次,告警響應智能化能夠對海量告警信息進行智能分診,從而自動觸發編排好的流程,就像醫院的分診台。一方面告警分診能夠自動化地聚合告警信息,計算告警的可信度和處置優先級;另一方面,可針對告警信息進行補充調查分析,方便工程師進行下一步研判。
同時,案件管理全程化可幫助用户對一組相關的告警進行流程化、持續化的調查分析與響應處置,並且不斷積累該案件相關的痕跡物證(IOC)和攻擊者的攻擊戰術等指標信息。
最後奇安信SOAR具備系統架構開放化的特點,採用開放可編程架構設計,內置工作流引擎和應用開發包,用户可自定義劇本、應用、自動響應觸發條件和案件處置過程,無縫融入現有安全體系。
在上述五大核心能力的基礎上,此次奇安信新版SOAR加入了協同作戰室功能,不僅實現了安全工程師的實時溝通,還內置了大量編排好的自動化劇本和命令,實現了人機之間的協同處置,從而改變了“通訊基本靠吼,操作基本靠手”的局面,進一步提升了協同作戰的效率。
奇安信SOAR產品負責人形象的將SOAR比喻為一位交響樂指揮大師,讓各種安全產品構成的樂隊各施所長,協作演奏出一曲曲優美的樂章。
Gartner調查發現,隨着安全技術的發展,許多工具中已經存在 SOAR 或集成了SOAR模塊,如SIEM等設備已經包含工作流自動化等相關功能。
作為國內網絡安全領軍企業,奇安信此次發佈的新版SOAR既可獨立部署,也可與SOC等設備聯動部署,功能、性能更具優勢,能夠將安全團隊、工具和流程真正整合起來。
同時,在重大活動網絡安全保障期間,奇安信SOAR還可以幫助客户在事前制定預案以逸待勞、事中自動響應快速處置、事後覆盤總結積累經驗,全方位提升實戰化、體系化、常態化安全運行水平。