奇安信發(fā)布SOAR 3.0 安全處置效率提升十倍

“安全和運維兩張皮、安全能力融合不充分、海量告警疲于應對、溝通靠吼操作靠手、制度流程空轉(zhuǎn)……”某大型央企信息安全中心主管表示，當前安全運行存在五大痛點：人少事多、告警疲勞、響應太慢、知識流失、缺乏協(xié)作。安全運行亟需升級換代。

12月24日，奇安信在京正式發(fā)布新版安全編排與自動化響應產(chǎn)品(SOAR3.0)，該產(chǎn)品基于自動化、智能化的網(wǎng)絡安全檢測和響應能力，以幫助政企機構(gòu)打造落地可用的網(wǎng)絡安全運行體系，安全處置效率提升十倍以上。

奇安信集團總裁吳云坤表示，SOAR不僅僅是一個產(chǎn)品，更是一個平臺，代表一個新興的領(lǐng)域，將安全、IT和人深度結(jié)合。利用體系化的方法，做到常態(tài)化運行，實現(xiàn)實戰(zhàn)化攻防，為用戶達到“三化六防”提供堅實的支撐。

安全運行迎來SOAR時代

近一個月來，業(yè)界接連曝出兩次大規(guī)模的網(wǎng)絡攻擊：包括Fireeye武器庫泄露事件和SolarWinds供應鏈攻擊事件。顯而易見的是，網(wǎng)絡安全形勢日趨嚴峻。從過去幾年的攻防實戰(zhàn)演習經(jīng)驗來看，政企機構(gòu)在面臨組織化、體系化的網(wǎng)絡攻擊時，依然顯得力不從心。

大多數(shù)機構(gòu)并沒有建立起一個行之有效的安全運行體系。從發(fā)現(xiàn)威脅到處置威脅，需要消耗太多的人力成本和時間成本。

尤其是在響應環(huán)節(jié)，一方面是威脅處置需要不同的安全設(shè)備之間的協(xié)同聯(lián)動，依靠人工操作耗時費力；另一方面是響應人員匱乏，技能水平受困于重復性勞動難以提升，而優(yōu)秀的工程師的經(jīng)驗也難以形成標準化的流程和動作。

“SOAR并不單單是一款產(chǎn)品或者一個工具。”奇安信集團總裁吳云坤說，“從SOAR1.0時簡單的系統(tǒng)模塊，到SOAR2.0時自動化響應的工具再到今天奇安信即將發(fā)布的SOAR3.0，SOAR代表著安全運行的發(fā)展趨勢。”

吳云坤強調(diào)，從“十三五”結(jié)尾到“十四五”的開篇，這推動了網(wǎng)絡安全進入了另一個“元年”，標志正是實戰(zhàn)化、常態(tài)化、體系化的安全運行在政企機構(gòu)的落地，SOAR則是其中的關(guān)鍵。

Gartner數(shù)據(jù)顯示，作為一個相對新的技術(shù)，自SOAR誕生起，就受到市場的廣泛關(guān)注。預計到2023年，SOAR市場收入規(guī)模將達到5.5億美元。

安全處置時長縮短至分鐘級

SOAR大大提高的處置效率。奇安信在實踐中發(fā)現(xiàn)，在重保時一鍵封禁IP場景下，對于少量的告警，人工處置要20分鐘甚至更長，而利用SOAR僅需10~30秒，如果在告警量數(shù)以萬計的條件下，依靠人工更加難以處置，而SOAR可以全量處置，時長僅在分鐘級別。

在威脅情報比對和高危IP封堵環(huán)節(jié)，依靠人工每天只能處理部分IP，且每次處理都要半小時以上；依靠SOAR每個IP的研判與處置僅需不到10秒，且可以持續(xù)不斷地去做，效率大大提升。

在生成安全事件報告環(huán)節(jié)，手工撰寫需要4~8小時，SOAR一鍵導出僅需幾秒鐘，加上人工修訂，合計時長可以控制到1小時內(nèi)。

總體來看，SOAR能夠?qū)�安全事件調(diào)查與響應操作的效率提高10倍以上；對于需要重復性持續(xù)性的操作，提升的效率更是數(shù)以百倍計。正因如此，SOAR受到了大型政企機構(gòu)的歡迎。

六大特性實現(xiàn)網(wǎng)絡安全常態(tài)化運行

據(jù)介紹，奇安信SOAR 3.0以實戰(zhàn)化為核心，能夠幫助企業(yè)和組織將繁雜安全運行過程梳理為任務和劇本，把分散的安全工具與功能轉(zhuǎn)化為可編程的應用和動作，并且借助編排和自動化技術(shù)，將團隊、工具和流程的高度協(xié)同起來，覆蓋安全運行的防護、檢測、響應等各個環(huán)節(jié)。

據(jù)介紹，奇安信SOAR產(chǎn)品具有以下關(guān)鍵特性：

首先，安全能力編排化能夠?qū)⒖蛻舴稚⒌陌踩�能力和響應的過程標準化，形成能隨時調(diào)用的劇本庫和應用庫，實現(xiàn)團隊、工具和流程的整合與協(xié)同聯(lián)動，減少人工干預。

其次，安全流程自動化能夠通過自動化告警處置、自動化劇本執(zhí)行、自動化服務調(diào)用等功能，讓安全能力自動化執(zhí)行。

再次，告警響應智能化能夠?qū)�海量告警信息進行智能分診，從而自動觸發(fā)編排好的流程，就像醫(yī)院的分診臺。一方面告警分診能夠自動化地聚合告警信息，計算告警的可信度和處置優(yōu)先級；另一方面，可針對告警信息進行補充調(diào)查分析，方便工程師進行下一步研判。

同時，案件管理全程化可幫助用戶對一組相關(guān)的告警進行流程化、持續(xù)化的調(diào)查分析與響應處置，并且不斷積累該案件相關(guān)的痕跡物證(IOC)和攻擊者的攻擊戰(zhàn)術(shù)等指標信息。

最后奇安信SOAR具備系統(tǒng)架構(gòu)開放化的特點，采用開放可編程架構(gòu)設(shè)計，內(nèi)置工作流引擎和應用開發(fā)包，用戶可自定義劇本、應用、自動響應觸發(fā)條件和案件處置過程，無縫融入現(xiàn)有安全體系。

在上述五大核心能力的基礎(chǔ)上，此次奇安信新版SOAR加入了協(xié)同作戰(zhàn)室功能，不僅實現(xiàn)了安全工程師的實時溝通，還內(nèi)置了大量編排好的自動化劇本和命令，實現(xiàn)了人機之間的協(xié)同處置，從而改變了“通訊基本靠吼，操作基本靠手”的局面，進一步提升了協(xié)同作戰(zhàn)的效率。

奇安信SOAR產(chǎn)品負責人形象的將SOAR比喻為一位交響樂指揮大師，讓各種安全產(chǎn)品構(gòu)成的樂隊各施所長，協(xié)作演奏出一曲曲優(yōu)美的樂章。

Gartner調(diào)查發(fā)現(xiàn)，隨著安全技術(shù)的發(fā)展，許多工具中已經(jīng)存在 SOAR 或集成了SOAR模塊，如SIEM等設(shè)備已經(jīng)包含工作流自動化等相關(guān)功能。

作為國內(nèi)網(wǎng)絡安全領(lǐng)軍企業(yè)，奇安信此次發(fā)布的新版SOAR既可獨立部署，也可與SOC等設(shè)備聯(lián)動部署，功能、性能更具優(yōu)勢，能夠?qū)�安全團隊、工具和流程真正整合起來。同時，在重大活動網(wǎng)絡安全保障期間，奇安信SOAR還可以幫助客戶在事前制定預案以逸待勞、事中自動響應快速處置、事后復盤總結(jié)積累經(jīng)驗，全方位提升實戰(zhàn)化、體系化、常態(tài)化安全運行水平。

   【免責聲明】本文僅代表合作供稿方觀點，不代表和訊網(wǎng)立場。投資者據(jù)此操作，風險請自擔。