当前,企业组织面临着越来越多的网络安全威胁。在资源和专业人才有限的情况下,借助新一代安全技术实现企业安全运维自动化成为企业的当务之急。必然的选择。SOAR(SecurityOrchestrationAutomationandResponse)技术,因其在安全自动化响应方面的独特优势,可以帮助企业解决安全事件响应过程中人员短缺等问题,提高告警分类的质量和速度,受到了广泛关注受到更多企业用户的关注。为了让国内企业用户更好地了解如何构建企业安全运维自动化能力,帮助企业更好地部署和应用以SOAR为代表的安全运维自动化产品,安全牛实地调研了多家已经构建和部署的甲方用户。应用SOAR解决方案。同时,根据《第八版中国网络安全行业全景图》的结果,我们从产品创新性、易用性、市场表现等维度,特选出天融信、千信、神州泰岳、物智智能、安恒资讯、亚信安全、山石网科、洛易科技.(排名不分先后,按研究时间排序)等8家国内SOAR产品代表性厂商,分析研究其最新的SOAR解决方案(产品),以及近年来成功实施的典型SOAR应用案例,共同撰写并发布《企业安全运营自动化(SOAR)应用指南》报告(以下简称“报告”)。2022年1月26日,报告正式在网上发布。8位SOAR领域一线技术专家和安全牛分析师就SOAR技术的发展现状、主要挑战、应用前景、未来发展趋势等进行了研讨,超过3000人次的行业嘉宾在线观看了报告发布。报告主要发现·随着SOAR技术的不断成熟,其在我国企业用户的应用条件已基本具备,相关产品已从观望期进入应用推广期,大量用户国内SOAR解决方案的多个实际应用案例开始出现。调查发现,国内SOAR产品逐渐成熟,国内大用户对SOAR的认知度和接受度也明显提升。从2020年下半年开始,涌现出大量SOAR解决方案的实际应用案例。预计未来三年SOAR产品市场将快速发展。·企业对安全编排和自动化响应的需求快速增长。本报告对11家已经搭建并应用SOAR产品的企业用户进行了调查访谈,涵盖银行、保险、汽车、电子等行业,涉及产品购买原因、选择因素、操作体验、使用效果等。调研发现,现阶段大部分企业在安全运维方面存在周期性重复劳动、海量安全告警、响应不及时、安全人员不足等挑战。企业一般都有自动化安全运维和响应技术的应用需求。SOAR的技术路线比较清晰,实现的难点主要在于能否满足用户复杂多变的场景。现阶段,国内安全厂商对SOAR的概念和技术体系比较清楚。实施的难点在于能否真正实现根据用户场景进行安全编排和自动响应,无论是利用自身的技术积累和研发实力,还是依赖其他公司的产品。.·SOAR解决方案的应用对企业自身的安全运营能力要求较高,尚处于应用初期。调查发现,现阶段使用SOAR产品的用户均为大型企业。这些企业拥有自己的安全运营团队或购买第三方安全服务,具有较强的安全运营能力。此类用户较早使用SOAR,与自身特点和需求密不可分。首先,其安全操作流程清晰规范,为流程编排奠定了基础;其次,高昂的人工成本带动了自动化作业的需求。现有的SOAR解决方案需要不同程度的人工干预,自动化能力将成为未来考量SOAR解决方案可用性的重要指标。多家安防厂商表示,未来人工智能技术在SOAR中的应用会越来越多,有的以智能机器人的形式为响应提供辅助决策,有的将智能技术融入模型底层能力中建筑和数据分析。未来,人工智能和人类智能将逐渐在SOAR中更加紧密地融合。专家观点LogEasySecurity产品总监施泽焕:很多时候SOAR是和SIEM结合使用,为用户提供从检测、分析到响应的整体解决方案。如果报警准确率低或者误报率高,且数量大,都会影响SOAR的性能。因此,我们建议将SOAR与SIEM结合使用。此外,极极一认为,SOAR解决方案的三大功能包括组件能力、脚本编辑能力、任务管理能力。在实际实现过程中,SOAR可用于IP自动封禁、异常DNS请求自动解析等场景。山石网科安全运营事业群高级产品经理朱凯:SOAR的本质是通过安全编排、自动化和响应技术,将安全运营相关的人、技术、流程整合起来,有序处理多源异构数据,持续实施安全告警排查、攻击分析、威胁处置、事件响应,衡量和提升安全运营效率,简化安全运营管理,赋能安全团队。其短期目标是使手动和重复性任务自动化,并缩短威胁的补救时间。长期目标是从综合安全运营的角度寻找可量化、标准化的切入点,提高安全运营的成熟度。亚信安全管理产品中心解决方案总监郭涛:SOAR应该包括三大功能:威胁情报分析、安全编排自动化、安全事件响应。其中,安全编排和自动化是SOAR的核心,通过编排脚本完成从情报分析到事件的全过程。响应式安全流程处理。使相关组织能够从不同来源收集安全威胁数据和警报,通过人机集成进行事件分析和分类,以帮助安全人员根据标准工作流程定义、确定优先级和推动标准事件响应活动。安恒信息高级副总裁刘波:目前很多企业都面临着建立了态势感知体系,却不能很好地运用的困境。SOAR技术的出现缓解了这个问题。从安恒众多客户的实际应用场景来看,SOAR可以替代大约80%-90%的人力工作。我们预计在未来3-5年内,SOAR将是一项非常关键的技术,它也将能够最大限度地发挥网络安全态势感知技术体系的能力。同时,SOAR还能在工业互联网安全、5G安全等领域发挥更大价值。无知智能联合创始人兼CTO付奎:在企业安全运营中,时间是最大的敌人,安全运营商需要与攻击者赛跑,抢占时间。当前,企业安全运营面临高成本、低效率的人工响应困境:安保人员淹没在海量告警中,操作靠手,沟通靠喊,新手不行,老手不行,处理难。慢……企业需要自动化、智能化的网络武器作战平台来解决这个问题。“AI+SOAR”将人工智能技术精准应用于安防场景,可以充分发挥“人类工程师的智慧+机器的智能和速度”,通过显着提升自动化水平,帮助企业解放生产力。神州泰岳安全咨询总监程健:目前,企业组织不仅面临着平台相对完备但使用困难的矛盾,协同能力差是突出特点;要求、监管要求的持续改进和其他挑战。因此,企业安全运营需要规范化、程序化、实用化、系统化的解决方案,以“实用化、系统化、规范化”为新理念,以“动态防御、主动防御、纵深防御、精准防护”,全面保障“联防联控”是应对当前企业网络安全运营面临的威胁和挑战的新举措。奇安信SOAR产品营销曾辉:目前真正重视安全运营的客户面临五大痛点:一是在人员组织上存在人员不足、技能有限、工作量大、工作忙等问题;在处理方面,存在大量告警,无法处理,造成“告警疲劳”等问题;三是在响应速度方面,存在响应时间过长、人工操作过多、难以及时止损等问题。第四,在知识积累方面,一方面存在操作性知识难以传承、无法积累的问题;第五,在集成协同方面,存在运营工具碎片化,人、工具、流程之间缺乏协同的问题。奇安信认为,SOAR是一个系统,通过编排和自动化技术,整合与安全运营相关的团队、工具和流程,有序处理多源数据,持续进行安全告警分流排查、案件处理、协同运营和事件响应,最终实现高效、有效、安全运行的智能协同系统。天融信产品总监惠洪刚:从实践的角度来看,SOAR有3个核心思想:一是安全分析和处置经验的总结和复用;二是尽可能实现安全分析和处置操作的自动化;扩展产品的能力。SOAR的建设不是一蹴而就的。根据经验,其合理的推进流程如下:首先,建立SIEM、安全管理、态势感知等平台,汇集安全数据,建立专业的安全运营团队,实现安全数据的集中研判分析;其次,建立SOAR平台,将安全运维团队中最常执行的研判任务固化为脚本,进行自动化的辅助研判;最后,完善SOAR脚本库,根据大部分安全运营团队的工作,梳理出可固化脚本,接入需要的联动对象,完善和完善SOAR脚本库,最大化自动化运营。
