淺談安數(shù)云智能安全運(yùn)營管理平臺：DCS-SOAR

SOAR(security orchestration，automation and response)，由Gartner于2015年提出，最初的含義是安全運(yùn)營、分析與報告。2017年，Gartner又重新定義了SOAR的能力，包括安全編排、安全自動化和安全響應(yīng)。

Gartner認(rèn)為，SOAR是一組兼容軟件程序的堆棧，用以收集對網(wǎng)絡(luò)安全造成威脅的數(shù)據(jù)，并對安全事件做出響應(yīng)。用戶使用SOAR平臺的目的是提高物理系統(tǒng)及數(shù)字安全運(yùn)營的效率。

SOAR的三大功能

安全編排

安全編排是通過工具將不同系統(tǒng)整合，如漏洞掃描、終端防護(hù)、行為分析、防火墻、IDS/IPS或外部威脅情報源等，進(jìn)行自定義集成和接口對接，從而提升數(shù)據(jù)的收集能力。

通過這些來源收集的數(shù)據(jù)越多，偵測威脅的機(jī)會就越大，同時也能獲得更完整的背景信息，并改善協(xié)作。

安全自動化

安全自動化通過分析從安全編排中收集的數(shù)據(jù)及告警，創(chuàng)建自動化流程來替代人工流程。安全運(yùn)營平臺以前由分析人員執(zhí)行的任務(wù)，比如漏洞掃描、日志分析和審計能力，現(xiàn)在能夠通過SOAR的安全自動化功能實(shí)現(xiàn)標(biāo)準(zhǔn)化并且自動執(zhí)行。

安全響應(yīng)

安全響應(yīng)為分析人員提供單一視圖，這個單一視圖可以促進(jìn)安全、網(wǎng)絡(luò)和系統(tǒng)之間的協(xié)作及情報共享。安全人員在檢測到威脅后，能夠規(guī)劃、管理、監(jiān)控和報告已采取的行動。

SOAR的核心優(yōu)勢

SOAR是基于系統(tǒng)執(zhí)行安全操作的能力，能夠檢測、調(diào)查和消除網(wǎng)絡(luò)威脅，無需人工干預(yù)。SOAR的自動化編排與響應(yīng)能力能夠?qū)崿F(xiàn)以下功能：

- 檢測用戶環(huán)境中的威脅;

- 對潛在威脅進(jìn)行分類;

- 確定是否對事件采取行動;

- 控制并解決問題。

SOAR的這些功能無需人工干預(yù)即可實(shí)現(xiàn)。安全分析人員不需要按照步驟、說明和決策流程來確定事件是否是合法事件;重復(fù)、耗時的操作可以通過SOAR的自動編排與響應(yīng)功能完成，分析人員可以專注于更重要、增值的工作。

安數(shù)云的DCS-SOAR平臺

面對海量數(shù)據(jù)，如何進(jìn)行精準(zhǔn)高效的安全運(yùn)營，是當(dāng)前各行業(yè)用戶重點(diǎn)關(guān)注的問題。安數(shù)云作為國內(nèi)專業(yè)的云安全整體解決方案及服務(wù)提供商，敏銳把握用戶需求，推出安數(shù)云DCS-SOAR(安全編排自動化響應(yīng))平臺，通過充分應(yīng)用SOAR的各項安全能力，為用戶提供更高效的智能安全運(yùn)營管理服務(wù)。

安數(shù)云認(rèn)為，業(yè)內(nèi)SOAR平臺主要分為三個類型：集成型、獨(dú)立型、混合型。安數(shù)云以混合型切入，安數(shù)云DCS-SOAR平臺通過資產(chǎn)、事件、漏洞、定時四個維度開展安全編排與自動響應(yīng)功能，通過組織收集多種來源的數(shù)據(jù)，并根據(jù)縱深防御原則，應(yīng)用工作流來拉通各種流程和規(guī)程。

以資產(chǎn)類響應(yīng)為例，用戶上線資產(chǎn)后，通過資產(chǎn)探測觸發(fā)劇本，劇本自動與資產(chǎn)管理模塊聯(lián)動、根據(jù)資產(chǎn)類型進(jìn)行分類入庫及漏洞掃描、期間通過AI模型引擎進(jìn)行數(shù)據(jù)處理及搜集，將需要防護(hù)的資產(chǎn)生成對應(yīng)策略，并添加至SDN服務(wù)鏈進(jìn)行防護(hù)，整套流程全部通過劇本編排做到自動化響應(yīng)。

除此以外，AI引擎還會提供包括事件管理、告警統(tǒng)計、威脅情報管理、自動巡檢，以及功能分析等多種能力。

安數(shù)云DCS-SOAR平臺致力于解決用戶云上資產(chǎn)的安全運(yùn)營問題，面對用戶防護(hù)設(shè)備繁雜臃腫、安全事件難以及時響應(yīng)、運(yùn)營成本逐年上升的困境，安數(shù)云DCS-SOAR平臺以安全大腦驅(qū)動為核心，建立運(yùn)營體系，通過OneStep框架實(shí)現(xiàn)第三方安全產(chǎn)品的“無門檻接入、低門檻納管”;通過劇本編排實(shí)現(xiàn)自動化快速響應(yīng)以及網(wǎng)絡(luò)調(diào)度。

安數(shù)云DCS-SOAR平臺以安全運(yùn)營為導(dǎo)向，通過態(tài)勢感知+SOAR+云安全管理等各項功能，協(xié)助用戶實(shí)現(xiàn)低成本的資產(chǎn)管控以及安全運(yùn)營，達(dá)到可視、可用、可管、可控。

得力于DCS-AI安全大腦，安數(shù)云DCS-SOAR平臺結(jié)合多源異構(gòu)日志采集處理、大數(shù)據(jù)檢索存儲，對安全事件應(yīng)急響應(yīng)速度提升1200%，對于0day漏洞，也能夠快速從情報庫中檢索，第一時間快速篩查并隔離風(fēng)險資產(chǎn)。

SOAR平臺是網(wǎng)絡(luò)安全運(yùn)營趨勢

在不斷增長且日益數(shù)字化的世界中，網(wǎng)絡(luò)安全面臨諸多挑戰(zhàn)。威脅變得越來越頻繁和復(fù)雜，企業(yè)需要制定一種高效且有效的安全運(yùn)營策略，應(yīng)對安全挑戰(zhàn)。SOAR成為安全運(yùn)營團(tuán)隊管理、分析和應(yīng)對告警及威脅的新方式。

威脅和告警數(shù)量不斷增長，資源又不足以應(yīng)對所有問題，在日常運(yùn)營中，分析人員需要快速決定哪些告警需要處理，哪些可以忽略，但由于超負(fù)荷工作，很可能錯過真正的威脅，在應(yīng)對威脅和惡意攻擊時出現(xiàn)誤判，最終使網(wǎng)絡(luò)及數(shù)據(jù)產(chǎn)生安全泄露，造成無可挽回的損失。

因此，系統(tǒng)化安全編排并通過自動化響應(yīng)，對于處理威脅告警的過程是至關(guān)重要的。通過過濾掉占用過多精力和資源的單調(diào)任務(wù)，安全運(yùn)營團(tuán)隊在處理和調(diào)查事件時更加有效和高效，從而能夠極大地改善整個網(wǎng)絡(luò)的安全狀況。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）