首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

干貨解讀 | 中國(guó)信通院安全所與安恒信息聯(lián)合發(fā)布“SOAR白皮書”

閱讀量：次

11月26日，2019年（第九屆）電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全年會(huì)在西安舉行,主論壇上中國(guó)信息通信研究院安全所和杭州安恒信息技術(shù)股份有限公司聯(lián)合發(fā)布了其在網(wǎng)絡(luò)安全先進(jìn)技術(shù)領(lǐng)域的最新研究成果，《網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列白皮書——安全編排自動(dòng)化與響應(yīng)（SOAR）》（以下簡(jiǎn)稱：白皮書）。

中國(guó)信息通信研究院安全所所長(zhǎng)魏亮與安恒信息高級(jí)副總裁黃健共同發(fā)布白皮書。

《網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列白皮書——安全編排自動(dòng)化與響應(yīng)（SOAR）》全面闡述了SOAR的概念、內(nèi)涵和核心能力，分析了新形勢(shì)下網(wǎng)絡(luò)安全團(tuán)隊(duì)面臨的挑戰(zhàn)，找到SOAR 滿足網(wǎng)絡(luò)安全需求的應(yīng)對(duì)之道。同時(shí)，白皮書還對(duì)國(guó)內(nèi)外領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)運(yùn)用SOAR技術(shù)的優(yōu)秀案例進(jìn)行介紹；對(duì)SOAR未來(lái)面對(duì)的機(jī)遇與挑戰(zhàn)給予展望。

一

SOAR的概念、內(nèi)涵及核心性能

SOAR的概念：2015年，Gartner首次提出SOAR概念，將其定義為一種對(duì)利用機(jī)器讀取的、有狀態(tài)的安全數(shù)據(jù)提供報(bào)告、分析和管理的能力資源，為整個(gè)運(yùn)營(yíng)安全團(tuán)隊(duì)提供支持。2017年Gartner對(duì)SOAR進(jìn)行了全新的概念升級(jí)，將SOAR定義為安全編排自動(dòng)化與響應(yīng)（Security Orchestration Automation and Response, SOAR）；自2019年后，SOAR的發(fā)展路徑將由SOC優(yōu)化、威脅檢測(cè)和響應(yīng)、威脅調(diào)查和響應(yīng)以及威脅情報(bào)管理來(lái)驅(qū)動(dòng)。

SOAR的內(nèi)涵：編排、自動(dòng)化、響應(yīng)、案例管理、協(xié)同合作。

SOAR的核心能力：定制化、靈活化、聯(lián)動(dòng)化。

二

新形勢(shì)下網(wǎng)絡(luò)安全團(tuán)隊(duì)面臨的挑戰(zhàn)

1.安全事件和威脅風(fēng)險(xiǎn)劇增

近年來(lái)安全事件的數(shù)量不斷增加。2016年到2019年，漏洞數(shù)量呈直線上升的，截止2019年7月，2019年漏洞數(shù)量已經(jīng)超過(guò)2016年全年漏洞數(shù)量。從側(cè)面反映出安全團(tuán)隊(duì)需要處理的安全事件正與日俱增。

2.人力不足且經(jīng)驗(yàn)難以固化

安全事件增長(zhǎng)的速度遠(yuǎn)快于安全專家培養(yǎng)的速度；同時(shí)，網(wǎng)絡(luò)安全人才的經(jīng)驗(yàn)難以固化傳承，大多數(shù)安全分析師對(duì)事件的分析都是基于經(jīng)驗(yàn)，但經(jīng)驗(yàn)共享性不強(qiáng)，沒(méi)有良好機(jī)制進(jìn)行匯總。

3.設(shè)備孤立且技術(shù)整合度低

傳統(tǒng)安全防護(hù)手段包括防火墻、入侵檢測(cè)、日志審計(jì)、訪問(wèn)控制等，部署量多、獨(dú)自為戰(zhàn)，并沒(méi)有統(tǒng)一的安排調(diào)度實(shí)現(xiàn)協(xié)同高效的目標(biāo)。

4.安全保障政策法規(guī)要求高

如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅檢測(cè)與處置辦法》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（等保2.0）、《通用數(shù)據(jù)保護(hù)條例》GDPR的法律法規(guī)的出臺(tái)，需要安全防護(hù)措施滿足大量合規(guī)要求。

三

SOAR的智能化應(yīng)對(duì)方案

針對(duì)以上四點(diǎn)挑戰(zhàn)，SOAR提出以下四種應(yīng)對(duì)方案：

1.集成化處理海量威脅情報(bào)

SOAR可集成化的處理海量威脅情報(bào)，通過(guò)豐富的威脅情報(bào)庫(kù)的集成包括IoC攻擊指標(biāo)庫(kù)、安全事件庫(kù)、網(wǎng)絡(luò)資產(chǎn)庫(kù)、專家情報(bào)庫(kù)等對(duì)可以情報(bào)進(jìn)行碰撞，快速定位安全事件，大大提高了威脅情報(bào)的識(shí)別率。

2.流程化釋放優(yōu)化勞動(dòng)力

SOAR通過(guò)流程化的方式將解決方案自動(dòng)生成事件進(jìn)行調(diào)查，前期避免為了發(fā)現(xiàn)威脅而需投入的大量人力物力，中期簡(jiǎn)化手動(dòng)操作創(chuàng)建事件的繁瑣流程，后期能夠自動(dòng)生成分析報(bào)告。

通過(guò)智能分析將事件中重復(fù)的、常規(guī)的部分交給機(jī)器完成，使分析師集中更多時(shí)間投入到調(diào)查和響應(yīng)事件而非將時(shí)間消耗在執(zhí)行調(diào)查所需的數(shù)據(jù)收集上。

3.自動(dòng)化加強(qiáng)人機(jī)融合

SOAR技術(shù)將人工智能技術(shù)引入自動(dòng)化編排之中，能夠通過(guò)人機(jī)結(jié)合，使人員、流程、技術(shù)無(wú)縫融合在一起。這一過(guò)程不單單是對(duì)劇本流程的整合，也是對(duì)安全技術(shù)和安全人員的整合，縮短了反應(yīng)時(shí)間。一方面，智能化編排能將經(jīng)驗(yàn)最豐富的安全人員的知識(shí)和經(jīng)驗(yàn)提煉為一個(gè)易于重復(fù)的過(guò)程；另一方面，智能化編排能將程序中繁雜簡(jiǎn)單的工作轉(zhuǎn)移到機(jī)器上，不僅提高分析效率，也將分析師的經(jīng)歷集中于更有價(jià)值的活動(dòng)中。

4.智能化滿足合規(guī)要求

面對(duì)新一輪的合規(guī)要求提高，SOAR技術(shù)通過(guò)豐富的模型編排、場(chǎng)景設(shè)置對(duì)邊界防護(hù)、垃圾郵件防范做出高效的發(fā)掘和應(yīng)對(duì)。智能化的模型編排、算法優(yōu)化使數(shù)據(jù)保護(hù)符合多場(chǎng)景的應(yīng)用。通過(guò)對(duì)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的檢測(cè)，內(nèi)外部攻擊的回連，AI引擎的驅(qū)動(dòng)大大提升入侵檢測(cè)的能力。

四

行業(yè)最佳案例實(shí)踐之失陷終端的研判與處置

安恒AiLPHA大數(shù)據(jù)智能安全平臺(tái)將人工智能與SOAR結(jié)合，在醫(yī)療、教育、金融行業(yè)已經(jīng)取得很大成效。針對(duì)每一個(gè)主機(jī)建立流量行為基線，當(dāng)主機(jī)被遠(yuǎn)控木馬植入時(shí)，通過(guò)人工智能 RPCA-SST 算法濾除人為上網(wǎng)行為的噪聲，檢測(cè)出主機(jī)存在回連未知地址和數(shù)據(jù)泄露的特征，聯(lián)合EDR發(fā)現(xiàn)進(jìn)程存在文件篡改行為，研判分析其為變種木馬，自動(dòng)下發(fā)EDR文件隔離策略和防火墻流量阻斷策略，及時(shí)阻斷數(shù)據(jù)泄露風(fēng)險(xiǎn)。同時(shí)，調(diào)用Sherlock對(duì)木馬文件追蹤溯源，發(fā)現(xiàn)其通過(guò)釣魚郵件植入，辦公網(wǎng)中多個(gè)主機(jī)收到過(guò)同樣郵件。繼續(xù)聯(lián)動(dòng)漏洞掃描器和EDR對(duì)相關(guān)資產(chǎn)進(jìn)行檢測(cè)與響應(yīng)。最終將該新型變種木馬的文件hash、遠(yuǎn)控域名、發(fā)件郵箱加入威脅情報(bào)庫(kù)，并將相關(guān)流量、日志和處置過(guò)程通過(guò)郵件通知安全管理員進(jìn)一步應(yīng)急分析。這一完整的對(duì)失陷終端的響應(yīng)過(guò)程就是SOAR創(chuàng)建的劇本，體現(xiàn)了SOAR如何動(dòng)態(tài)實(shí)現(xiàn)編排與自動(dòng)化。

SOAR的機(jī)遇與挑戰(zhàn)?

作為2015年被提出的新概念，SOAR因?yàn)槟茉谡麄€(gè)安全事件應(yīng)對(duì)周期發(fā)揮關(guān)鍵作用，在現(xiàn)實(shí)場(chǎng)景中解決了許多困擾安全團(tuán)隊(duì)很久的難題，所以在可預(yù)見(jiàn)的未來(lái)，SOAR的市場(chǎng)將會(huì)持續(xù)增長(zhǎng)。但與此同時(shí)SOAR因?yàn)槠渥陨淼木窒扌裕裁媾R著被成熟的大規(guī)模安全廠商吸納的挑戰(zhàn)，并且根據(jù)近年來(lái)的SOAR被收購(gòu)的案例來(lái)看，這種安全生態(tài)演化和整合的趨勢(shì)明顯加強(qiáng)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>