首頁 > 關于我們 > 安恒動態 > 2024 > 正文

安恒信息牽頭制定的行業標準《安全編排自動化響應（SOAR）技術參考架構》正式獲批發布

閱讀量：次 文章來源：安恒信息

安全編排自動化響應（SOAR）技術參考架構

近日，工業和信息化部公告（2024年第18號）批準發布了多項行業標準，由中國通信標準化協會提出并歸口，安恒信息牽頭制定的YD/T 4966-2024《安全編排自動化響應（SOAR）技術參考架構》發布，并將于10月1日正式實施。

隨著網絡安全建設進程的不斷深化，安全保障工作的重心正逐步從建設期向運營期轉移，但用戶現網環境中部署大量的基于單點工作機制的網絡安全產品，網絡安全技術之間的整合度低、聯動性不強，運營人員在工作中被迫不斷地在不同的工具之間來回手工切換，使得在應對網絡安全事件時不能高效地處理事件，由此出現一系列的問題，如：安全設備系統孤立，資源浪費；海量告警無法處置，時效低下；分析經驗難以固化，不利傳承；安全信息共享障礙，溝通不暢等等。

安全編排自動化響應技術是一種為安全運營人員在其團隊中執行某些任務的過程中提供機器協助的解決方案。在網絡安全策略的不斷演進優化過程中，系統安全從簡單防范方法的組合向融合檢測、響應、預防的全新安全防護體系轉變。SOAR技術可用于增強組織在面臨威脅時預測、防御、檢測和響應等能力。在結合數據整合、能力集成和分析功能、AI人工智能和機器學習等新技術之后，SOAR技術開始具備智能編排能力，可以實現安全事件的自動化/半自動化響應。未來在結合大模型技術后，將運營專家的決策能力與機器的高效處理能力深度融合，實現安全運營效能的指數提升。

在常態化的安全運營過程中，利用安全場景編排能力實現安全事件的快速智能響應，基于大數據分析、威脅情報對威脅來源、影響范圍快速定位和精準識別，以及7*24小時網絡威脅持續監測能力的提升等應用場景，SOAR技術得到廣泛和有效的應用。

在SOAR技術廣泛應用并極大提升安全保障和防護效能的過程中，對安全編排自動化響應的技術架構和主要環節的技術要求一直處于空白，亟需制定相應技術標準，規范技術，擴大行業應用范圍，提升產品的市場規模。

YD/T 4966-2024《安全編排自動化響應（SOAR）技術參考架構》提出的安全編排自動化響應（SOAR）的技術參考架構，如下圖所示：

安全編排自動化響應參考架構至少包括數據處理單元、響應策略控制單元、編排策略控制單元、安全能力集成單元。

數據處理單元對接入的數據進行分析、處理，將非結構化數據解析成SOAR內部可流轉的結構化數據；

響應策略控制單元集中管理響應策略配置參數，針對不同數據實現響應策略規則制定、策略解析、策略執行；

編排策略控制單元通過安全編排設計器對安全事件響應流程中所需的安全能力接口、人工處理接口等資源進行管理，并實現編排策略的制定，通過工作流引擎實現編排策略的解析、執行；

安全能力集成單元制定安全能力集成方式與接口對接方式，對安全資源池進行資源集成開發后的安全應用程序以及安全能力接口進行集中管理。

YD/T 4966-2024《安全編排自動化響應（SOAR）技術參考架構》將有效指導安全編排自動化響應（SOAR）的使用方、運營方、研發方和第三方測評機構等對安全編排自動化響應進行設計、開發、測試、運維。YD/T 4966-2024的發布實施，將為行業提供參考，將對安全編排自動化響應技術的應用及產品建設有重要的影響和對SOAR在國內市場的推廣具有重大的意義。

安全編排自動化響應產品

在網絡安全領域，安全編排自動化響應的產品、平臺已經較為豐富，有代表性的產品如安恒AiLPHA安全編排與協同響應管理平臺。

安恒AiLPHA安全編排與協同響應管理平臺是一款結合AI人工智能、機器學習技術與安全編排的產品，能夠從各種安全工具和系統中收集告警信息和整合安全能力，它能夠與態勢感知、資產管理系統、威脅情報平臺、漏洞管理系統等集成，從而實現全面的安全能力聯動；并通過智能編排來提高安全團隊的效率和響應能力，幫助安全團隊減少手動操作的工作量，從而提高響應速度和準確性。與此同時，通過引入最前沿的大模型技術，學習和適應新的威脅模式，提高對位置威脅的檢測能力。將運營專家的決策能力與機器的高效處理能力深度融合，實現網絡威脅可視化、防御主動化、響應自動化、運營智能化的建設目標，實現安全運營效能的指數提升。

安恒AiLPHA安全編排與協同響應管理平臺在金融、企業、政府、運營商等多個領域部署，持續性網絡安全監測防護應用場景中，在每日精確告警1500+的壓力情況下，自動化處置率高達85%以上，實現大部分威脅的秒級處置；通過全局作戰室整合現場專家資源，實現非自動化響應事件的標準化響應流程，實現人工處置事件小于3分鐘，在采用YD/T 4966-2024相關技術架構后，有效解決了資源整合弱、分析效率低、無標準流程等痛點問題。

安恒信息作為網絡安全行業中的重要力量，在為各行各業提供高質量創新網絡安全產品與服務的同時，多年來一直積極參與網絡安全相關標準的研究與制定工作。在行業標準YD/T 4966-2024的研制過程中，安恒信息與行業內各相關單位一起，基于技術與應用的最佳實踐，積極貢獻產業技術力量，用豐富的網絡安全產品與服務經驗去驗證、探討網絡安全標準的科學性、合理性與可操作性，推動網絡安全產品與服務標準化進程，為促進我國網絡安全產業的高質量發展貢獻力量。

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>