殿上欢,有声读物

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案

企業(yè)安全運營自動化（SOAR）應用指南

當前，企業(yè)組織面臨越來越多的網絡安全威脅，在資源和專業(yè)人才有限的情況下，借助新一代安全技術實現企業(yè)安全運營工作自動化成為企業(yè)的必然選擇。SOAR（安全編排自動化與響應）技術因其在安全自動化響應方面獨具優(yōu)勢，能夠幫助企業(yè)解決安全事件響應過程中人員短缺、改進警報分類質量和速度等問題，受到更多企業(yè)用戶的關注。

為了讓國內企業(yè)用戶更好地了解企業(yè)安全運營自動化能力構建方法，幫助企業(yè)更好地部署應用以 SOAR 為代表的安全運營自動化產品，安全牛實際調研多家已經建設應用 SOAR 方案的甲方用戶，同時基于《第八版中國網絡安全行業(yè)全景圖》收錄結果，從產品創(chuàng)新性、可用性以及市場表現等維度，特別挑選出天融信、奇安信、神州泰岳、霧幟智能、安恒信息、亞信安全、山石網科、日志易（排名不分先后，以調研時間排序）等八家國產 SOAR 產品代表性廠商，分析研究其最新 SOAR 解決方案（產品），以及其近年來成功實施的典型 SOAR 應用案例，聯(lián)合撰寫發(fā)布《企業(yè)安全運營自動化（SOAR）應用指南》報告（以下簡稱 “報告”）。

2022年1月26日，報告正式線上發(fā)布，八位 SOAR 領域一線技術專家與安全牛分析師一起，就 SOAR 技術的發(fā)展現狀、主要挑戰(zhàn)、應用前景及未來發(fā)展趨勢等展開研討，超 3000 人次行業(yè)嘉賓在線觀看了本次報告發(fā)布。

報告關鍵發(fā)現

·隨著 SOAR 技術的不斷成熟，其在我國企業(yè)用戶的應用條件已經基本具備，相關產品已從觀望期演進為應用推廣期，國產 SOAR 方案的實際應用案例開始大量出現。

調研發(fā)現，國產 SOAR 產品已經逐漸成熟完善，國內大型用戶對 SOAR 的認知度和接受度也明顯提升，從 2020 年下半年開始出現，SOAR 方案的實際應用案例大量出現。預計未來三年，SOAR 產品市場將快速發(fā)展。

·企業(yè)在安全編排與自動化響應方面需求快速增長。

本次報告，對 11 家已經建設應用了 SOAR 產品的企業(yè)用戶進行了調研訪談，覆蓋銀行、保險、汽車、電子等行業(yè)，涉及產品購買原因、選型因素、運營感受以及使用效果等維度。調研發(fā)現，現階段企業(yè)在安全運維方面大都存在周期性重復勞動多、海量安全報警、響應不及時、安全人員不足等挑戰(zhàn)，企業(yè)對自動化安全運營及響應技術的應用需求普遍存在。

·SOAR 的技術路線相對清晰，落地的主要難點在于是否能夠滿足用戶的復雜多變場景。

現階段，國內安全廠商對 SOAR 的概念及技術體系比較明確，落地的難點在于是否能夠真正根據用戶場景實現安全編排及自動化響應，不管利用的是自己技術積累或研發(fā)實力，還是借助其他家的產品。

·應用 SOAR 解決方案對企業(yè)自身安全運營能力有較高要求，目前還處于落地應用的早期階段。

調研發(fā)現，現階段使用 SOAR 產品的用戶均為規(guī)模較大的企業(yè)，這些企業(yè)自身具有安全運營團隊或采購第三方安全服務，安全運營能力較強。這樣的用戶較早使用 SOAR，與其自身特點和需求分不開。首先其安全運營流程清晰、規(guī)范，為流程編排奠定基礎；其次人力成本過高推動了自動化運營的需求。

·現有 SOAR 方案均需要不同程度的人工介入，自動化能力將成為未來考量 SOAR 方案可用性的重要指標。

多家安全廠商表明，未來會提高在 SOAR 中對人工智能技術的應用，有些是以智能機器人的方式為響應提供輔助決策，有些是將智能技術融入到底層能力進行模型構建、數據分析。未來，人工智能和人類智慧會逐漸在 SOAR 中結合得更加緊密。

專家觀點

日志易安全產品總監(jiān)施澤寰：很多情況下，SOAR 是與 SIEM 一起結合使用，為用戶提供從檢測、分析到響應的整體解決方案。如果告警精準度較低或者誤報率較高，而且數量比較多的話，就影響 SOAR 的發(fā)揮。所以我們建議 SOAR 與 SIEM 結合使用。除此之外，日志易認為 SOAR 解決方案的三大主要功能包括組件能力、劇本編排能力及任務管理能力。在實際落地過程中，SOAR 可用于 IP 自動化封禁和異常 DNS 請求自動化分析等場景。

山石網科安全運營業(yè)務群資深產品經理朱凱： SOAR 的本質是通過安全編排、自動化與響應技術將安全運營相關的人、技術和流程進行整合，有序處理多源異構數據，持續(xù)進行安全告警分診與調查、攻擊分析、威脅處置、事件響應，衡量并改善安全運營效率、簡化安全運營管理、為安全團隊賦能。其短期目標是實現手動任務和重復性任務的自動化，縮短威脅的補救時間，長期目標是從綜合安全運營視角找到可以量化、標準化的抓手去提升安全運營成熟度。

亞信安全安全管理產品中心解決方案總監(jiān)郭濤： SOAR 應包含威脅情報分析、安全編排自動化、安全事件響應三個主要功能，其中安全編排與自動化是 SOAR 的核心，通過編排的劇本完成從情報分析到事件響應的安全流程處理過程。使相關組織能夠收集來自不同來源的安全威脅數據和警報，通過人機結合執(zhí)行事件分析和分類，以幫助安全人員根據標準工作流定義，優(yōu)先化和驅動標準事件響應活動。

安恒信息高級副總裁劉博：目前，很多企業(yè)面臨一個困境是，建立了態(tài)勢感知系統(tǒng)，但是用不好。SOAR 技術的出現緩解了這一難題。從安恒多家客戶的實際應用場景來看，SOAR 可以替代大概 80%-90% 的人力工作。我們預期，在未來的 3-5 年中，SOAR 是一項非常關鍵的技術，也能夠最大限度地發(fā)揮網絡安全態(tài)勢感知技術體系的能力。同時，SOAR 還能夠在工業(yè)互聯(lián)網安全、5G 安全領域發(fā)揮更大價值。

霧幟智能聯(lián)合創(chuàng)始人兼 CTO 傅奎：在企業(yè)安全運營中，時間是最大的敵人，安全運營人員需要與攻擊者賽跑搶時間。當前，企業(yè)安全運營面臨高成本、低效率的人工響應困境：安全人員淹沒在海量告警中，操作靠手、溝通靠吼，新手不會、老手不夠、處置緩慢……企業(yè)需要自動化、智能化的網絡武器作戰(zhàn)平臺來解決這一難題?！癆I+SOAR” 將人工智能技術精準落地到安全場景，可以充分發(fā)揮 “人類工程師的智慧 + 機器的智能與速度”，通過顯著提升自動化水平助力企業(yè)解放生產力。

神州泰岳安全咨詢總監(jiān)程建：目前，企業(yè)組織既面臨平臺較為完備但使用困難、協(xié)同能力差為突出特點的矛盾；又需要應對持續(xù)升級加碼的威脅、持續(xù)變化的業(yè)務需求、持續(xù)提升的人員要求、持續(xù)的完善監(jiān)管需求等挑戰(zhàn)。因此，企業(yè)安全運營工作需要常態(tài)化、流程化、實戰(zhàn)化以及體系化的解決思路，以 “實戰(zhàn)化，體系化，常態(tài)化” 為新理念，以 “動態(tài)防御，主動防御，縱深防御，精準防護，整體防護，聯(lián)防聯(lián)控” 為新舉措，來應對當前企業(yè)網絡安全運營面臨的威脅與挑戰(zhàn)。

奇安信 SOAR 產品行銷曾輝：當前真正重視安全運營工作的客戶面臨五大痛點：一是，在人員組織方面，存在人員不足、技能有限、工作太多、忙不過來等問題；二是，在告警處置方面，存在大量告警，處理不過來，產生 “告警疲勞” 等問題；三是在響應速度方面，存在響應時間太長、手工操作太多、難以及時止損等問題；四是，在知識沉淀方面，存在運行知識難以傳承，無法積累的問題；五是，在整合協(xié)作方面，存在運行工具碎片化，人、工具、流程三者之間缺乏協(xié)同的問題。奇安信認為，SOAR 是一個將安全運營相關的團隊、工具和流程通過編排和自動化技術整合在一起，有序處理多源數據，持續(xù)進行安全告警分診與調查、案例處置、協(xié)同作戰(zhàn)、事件響應，并最終實現高效、有效安全運營的智能協(xié)作系統(tǒng)。

天融信產品總監(jiān)惠紅剛：從實戰(zhàn)角度看，SOAR 有三個核心思想：一是安全分析處置經驗總結固化重用；二是安全分析處置操作盡可能自動化；三是 SIEM、安管、態(tài)勢感知等產品的能力延伸。 SOAR 建設不是一蹴而就的，按照經驗其合理的推進過程為：首先，建立 SIEM、安管、態(tài)勢感知等平臺，匯聚安全數據，建立專業(yè)安全運營團隊，實現安全數據集中化研判分析；其次，建立 SOAR 平臺，將安全運營團隊中最常開展的研判分析任務固化為劇本，開展自動化輔助研判；最后，完善 SOAR 劇本庫，根據大部分安全運營團隊工作，梳理可固化的劇本，接入所需聯(lián)動對象，提升完善 SOAR 劇本庫，最大化地開展自動化運營。

分享文章：企業(yè)安全運營自動化（SOAR）應用指南
文章起源：http://m.fisionsoft.com.cn/article/cdegjgg.html

新聞中心

報告關鍵發(fā)現

專家觀點

其他資訊