AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
干貨解讀 | 中國信通院安全所與安恒信息聯合發布“SOAR白皮書”
11月26日,2019年(第九屆)電信和互聯網行業網絡安全年會在西安舉行,主論壇上中國信息通信研究院安全所和杭州安恒信息技術股份有限公司聯合發布了其在網絡安全先進技術領域的最新研究成果,《網絡安全先進技術與應用發展系列白皮書——安全編排自動化與響應(SOAR)》(以下簡稱:白皮書)。
中國信息通信研究院安全所所長魏亮與安恒信息高級副總裁黃健共同發布白皮書。
《網絡安全先進技術與應用發展系列白皮書——安全編排自動化與響應(SOAR)》全面闡述了SOAR的概念、內涵和核心能力,分析了新形勢下網絡安全團隊面臨的挑戰,找到SOAR 滿足網絡安全需求的應對之道。同時,白皮書還對國內外領先的網絡安全企業運用SOAR技術的優秀案例進行介紹;對SOAR未來面對的機遇與挑戰給予展望。
一
SOAR的概念、內涵及核心性能
SOAR的概念:2015年,Gartner首次提出SOAR概念,將其定義為一種對利用機器讀取的、有狀態的安全數據提供報告、分析 和管理的能力資源,為整個運營安全團隊提供支持。2017年Gartner對SOAR進行了全新的概念升級,將SOAR定義為安全編排自動化與響應(Security Orchestration Automation and Response, SOAR);自2019年后,SOAR的發展路徑將由SOC優化、威脅檢測和響應、威脅調查和響應以及威脅情報管理來驅動。
SOAR的內涵:編排、自動化、響應、案例管理、協同合作。
SOAR的核心能力:定制化、靈活化、聯動化。
?
二
新形勢下網絡安全團隊面臨的挑戰
1.安全事件和威脅風險劇增
近年來安全事件的數量不斷增加。2016年到2019年,漏洞數量呈直線上升的,截止2019年7月,2019年漏洞數量已經超過2016年全年漏洞數量。從側面反映出安全團隊需要處理的安全事件正與日俱增。
2.人力不足且經驗難以固化
安全事件增長的速度遠快于安全專家培養的速度;同時,網絡安全人才的經驗難以固化傳承,大多數安全分析師對事件的分析都是基于經驗,但經驗共享性不強,沒有良好機制進行匯總。
3.設備孤立且技術整合度低
傳統安全防護手段包括防火墻、入侵檢測、日志審計、訪問控制等,部署量多、獨自為戰,并沒有統一的安排調度實現協同高效的目標。
4.安全保障政策法規要求高
如《中華人民共和國網絡安全法》、《公共互聯網網絡安全威脅檢測與處置辦法》、《信息安全技術網絡安全等級保護基本要求》(等保2.0)、《通用數據保護條例》GDPR的法律法規的出臺,需要安全防護措施滿足大量合規要求。
?
三
SOAR的智能化應對方案
針對以上四點挑戰,SOAR提出以下四種應對方案:
1.集成化處理海量威脅情報
SOAR可集成化的處理海量威脅情報,通過豐富的威脅情報庫的集成包括IoC攻擊指標庫、安全事件庫、網絡資產庫、專家情報庫等對可以情報進行碰撞,快速定位安全事件,大大提高了威脅情報的識別率。
2.流程化釋放優化勞動力
SOAR通過流程化的方式將解決方案自動生成事件進行調查,前期避免為了發現威脅而需投入的大量人力物力,中期簡化手動操作創建事件的繁瑣流程,后期能夠自動生成分析報告。
通過智能分析將事件中重復的、常規的部分交給機器完成,使分析師集中更多時間投入到調查和響應事件而非將時間消耗在執行調查所需的數據收集上。
3.自動化加強人機融合
SOAR技術將人工智能技術引入自動化編排之中,能夠通過人機結合,使人員、流程、技術無縫融合在一起。這一過程不單單是對劇本流程的整合,也是對安全技術和安全人員的整合,縮短了反應時間。一方面,智能化編排能將經驗最豐富的安全人員的知識和經驗提煉為一個易于重復的過程;另一方面,智能化編排能將程序中繁雜簡單的工作轉移到機器上,不僅提高分析效率,也將分析師的經歷集中于更有價值的活動中。
4.智能化滿足合規要求
面對新一輪的合規要求提高,SOAR技術通過豐富的模型編排、場景設置對邊界防護、垃圾郵件防范做出高效的發掘和應對。智能化的模型編排、算法優化使數據保護符合多場景的應用。通過對網絡關鍵節點的檢測,內外部攻擊的回連,AI引擎的驅動大大提升入侵檢測的能力。
?
四
行業最佳案例實踐之失陷終端的研判與處置
安恒AiLPHA大數據智能安全平臺將人工智能與SOAR結合,在醫療、教育、金融行業已經取得很大成效。針對每一個主機建立流量行為基線,當主機被遠控木馬植入時,通過人工智能 RPCA-SST 算法濾除人為上網行為的噪聲,檢測出主機存在回連未知地址和數據泄露的特征,聯合EDR發現進程存在文件篡改行為,研判分析其為變種木馬,自動下發EDR文件隔離策略和防火墻流量阻斷策略,及時阻斷數據泄露風險。同時,調用Sherlock對木馬文件追蹤溯源,發現其通過釣魚郵件植入,辦公網中多個主機收到過同樣郵件。繼續聯動漏洞掃描器和EDR對相關資產進行檢測與響應。最終將該新型變種木馬的文件hash、遠控域名、發件郵箱加入威脅情報庫,并將相關流量、日志和處置過程通過郵件通知安全管理員進一步應急分析。這一完整的對失陷終端的響應過程就是SOAR創建的劇本,體現了SOAR如何動態實現編排與自動化。
?
SOAR的機遇與挑戰?
作為2015年被提出的新概念,SOAR因為能在整個安全事件應對周期發揮關鍵作用,在現實場景中解決了許多困擾安全團隊很久的難題,所以在可預見的未來,SOAR的市場將會持續增長。但與此同時SOAR因為其自身的局限性,也面臨著被成熟的大規模安全廠商吸納的挑戰,并且根據近年來的SOAR被收購的案例來看,這種安全生態演化和整合的趨勢明顯加強。
