浅谈安数云智能安全运营管理平台:DCS-SOAR

SOAR(security orchestration,automation and response),由Gartner于2015年提出,最初的含义是安全运营、分析与报告。2017年,Gartner又重新定义了SOAR的能力,包括安全编排、安全自动化和安全响应。

Gartner认为,SOAR是一组兼容软件程序的堆栈,用以收集对网络安全造成威胁的数据,并对安全事件做出响应。用户使用SOAR平台的目的是提高物理系统及数字安全运营的效率。

SOAR 的三大功能

安全编排

安全编排是通过工具将不同系统整合,如漏洞扫描、终端防护、行为分析、防火墙、IDS/IPS或外部威胁情报源等,进行自定义集成和接口对接,从而提升数据的收集能力。

通过这些来源收集的数据越多,侦测威胁的机会就越大,同时也能获得更完整的背景信息,并改善协作。

安全自动化

安全自动化通过分析从安全编排中收集的数据及告警,创建自动化流程来替代人工流程。安全运营平台以前由分析人员执行的任务,比如漏洞扫描、日志分析和审计能力,现在能够通过SOAR的安全自动化功能实现标准化并且自动执行。

安全响应

安全响应为分析人员提供单一视图,这个单一视图可以促进安全、网络和系统之间的协作及情报共享。安全人员在检测到威胁后,能够规划、管理、监控和报告已采取的行动。

SOAR的核心优势

SOAR是基于系统执行安全操作的能力,能够检测、调查和消除网络威胁,无需人工干预。SOAR的自动化编排与响应能力能够实现以下功能:

  • 检测用户环境中的威胁;

  • 对潜在威胁进行分类;

  • 确定是否对事件采取行动;

  • 控制并解决问题。

SOAR的这些功能无需人工干预即可实现。安全分析人员不需要按照步骤、说明和决策流程来确定事件是否是合法事件;重复、耗时的操作可以通过SOAR的自动编排与响应功能完成,分析人员可以专注于更重要、增值的工作。

安数云 DCS- SOAR 平台

面对海量数据,如何进行精准高效的安全运营,是当前各行业用户重点关注的问题。安数云作为国内专业的云安全整体解决方案及服务提供商,敏锐把握用户需求,推出安数云DCS-SOAR(安全编排自动化响应)平台,通过充分应用SOAR的各项安全能力,为用户提供更高效的智能安全运营管理服务。

安数云认为,业内SOAR平台主要分为三个类型:集成型、独立型、混合型。安数云以混合型切入,安数云DCS-SOAR平台通过资产、事件、漏洞、定时四个维 开展安全编排与自动响应功能,通过组织收集多种来源的数据,并根据纵深防御原则,应用工作流来拉通各种流程和规程。

以资产类响应为例,用户上线资产后,通过资产探测触发剧本,剧本自动与资产管理模块联动、根据资产类型进行分类入库及漏洞扫描、期间通过AI模型引擎进行数据处理及搜集,将需要防护的资产生成对应策略,并添加至SDN服务链进行防护,整套流程全部通过剧本编排做到自动化响应。

除此以外,AI引擎还会提供包括事件管理、告警统计、威胁情报管理、自动巡检,以及功能分析等多种能力。

安数云DCS-SOAR平台致力于解决用户云上资产的安全运营问题,面对用户防护设备繁杂臃肿、安全事件难以及时响应、运营成本逐年上升的困境,安数云DCS-SOAR平台以安全大脑驱动为核心,建立运营体系,通过OneStep框架实现第三方安全产品的"无门槛接入、低门槛纳管";通过剧本编排实现自动化快速响应以及网络调度。

安数云DCS-SOAR平台以安全运营为导向,通过态势感知+SOAR+云安全管理等各项功能,协助用户实现低成本的资产管控以及安全运营,达到可视、可用、可管、可控。

得力于DCS-AI安全大脑,安数云DCS-SOAR平台结合多源异构日志采集处理、大数据检索存储,对安全事件应急响应速度提升1200%,对于0day漏洞,也能够快速从情报库中检索,第一时间快速筛查并隔离风险资产。

SOAR 平台是网络安全运营趋势

在不断增长且日益数字化的世界中,网络安全面临诸多挑战。威胁变得越来越频繁和复杂,企业需要制定一种高效且有效的安全运营策略,应对安全挑战。SOAR成为安全运营团队管理、分析和应对告警及威胁的新方式。

威胁和告警数量不断增长,资源又不足以应对所有问题,在日常运营中,分析人员需要快速决定哪些告警需要处理,哪些可以忽略,但由于超负荷工作,很可能错过真正的威胁,在应对威胁和恶意攻击时出现误判,最终使网络及数据产生安全泄露,造成无可挽回的损失。

因此,系统化安全编排并通过自动化响应,对于处理威胁告警的过程是至关重要的。通过过滤掉占用过多精力和资源的单调任务,安全运营团队在处理和调查事件时更加有效和高效,从而能够极大地改善整个网络的安全状况。

相关推荐
黑客Ash1 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy1 小时前
计算机网络(第一章)
网络·计算机网络·php
朝九晚五ฺ1 小时前
【Linux探索学习】第十四弹——进程优先级:深入理解操作系统中的进程优先级
linux·运维·学习
摘星星ʕ•̫͡•ʔ2 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
Kkooe2 小时前
GitLab|数据迁移
运维·服务器·git
阿龟在奔跑3 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang3 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang3 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
久醉不在酒3 小时前
MySQL数据库运维及集群搭建
运维·数据库·mysql