- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
?
?
基于Soar的企业安全自动化响应解决方案
?
?
袁宏亮
摘要:日前企业安全运营中心的安全事件日益增多,占据了安全工程师大量的时间,导致安全响应时间长、人工介入多,相关处理过程难以定量评估。本文将从Soar技术的原理和应用案例浅析在安全管理当中的安全编排、自动化与响应解决方案。
关键词:安全运营;自动化响应;Soar
一、企业安全现状
随着网络安全行业日益火热,各类网络黑客技术和工具也越来越多,普通程序员利用网络上共享的安全工具就可以十分快捷的上线并进行网络攻击活动。例如,微软官方于2020年3月公布了CVE-2020-0796漏洞,提示用户SMB服务存在远程代码执行高危漏洞。仅在漏洞公布不久,相应POC漏洞利用工具已经出现在github平台上,仅需安装python运行环境即可运行攻击脚本发起网络攻击。由此可见,网络安全攻击者攻击成本日益降低,安全事件数量增长率日益高涨。
目前一般大中型企业都已经建立了相对比较完备的安全运营中心(下称为SOC),在SOC的运营过程中经常会遇到以下问题:
(一)大量的安全事件需要安全工程师介入,安全工程师分析的时间被许多无关紧要的事件消耗。导致安全响应执行过程、响应时间长,人工介入多,安全工作无法闭环。
(二)安全运营内包括多维度的调查取证、漏洞验证、安全策略变更等,需跨多系统多部门同步协作,导致安全闭环推进成本增加。
(三)一次常规的事件响应,至少涉及10个以上系统或程序,安全人员自身感觉耗时耗力,安全应急严重依赖人工操作。
二、Soar定义
Soar技术全称是SecurityOrchestration,AutomationandResponse,安全编排和自动化响应,是Gartner2017年提出的概念。Soar的产生就是为了解决以上提到的各类SOC运营问题,主要包括以下几个方面:
(一)Orchestration,编排。与过去相比,现在的安全运营中心需要整合大量的系统,要满足这些需求,必然需要的提供丰富的事件响应与处理编排能力,可以进行流程定制,流程执行。
(二)Automation,自动化。当前安全分析师工作量和内容都大大增加。数据是海量的数据,大量的数据需要使用自动化方式去处理。
(三)合理的KPI评估体系。系统提供编排与自动化执行能力,根据评估结果,可以进行流程再造,优化我们的编排内容,带来整个SOC的效率提升。
因此结合Soar定义,我们可以将目标确定为减少人工参与,固化处理流程,融合人工智能,加快威胁响应,及时减少损失。
三、Soar平台联动架构
我们将Soar与人工智能、RPA等多项工具融合,可以实现在智能安全编排、自动化响应过程中的多项应用。其在SOC中的运行架构可用下图表示。
在收到一些威胁情报或攻击检测等之后,会出发Soar平台的告警阈值,平台依据原本安排好的决策剧本进行智能决策,迅速响应同步至各大平台,在安全产品上完成信息同步,在网络产品上更新策略信息以及在各類It系统中完成响应防御操作,为防护方争取较多的时间。
Soar与机器学习等技术相结合,可实现人机协同作战的应用场景。通过给平台提供相近领域的样本训练,平台基于历史数据借助机器学习算法进行统计模拟后,可实现持续的“自学习、自优化”实现安全运营可持续优化。安全工程师可通过文字方式给平台机器人下达执行,平台通过机器学习、语境关联自动反馈安全建议。平台也可以基于安全事件、威胁情报等自动化生成脚本,并结合人工验证的方式最后一键全部部署,完成了安全事件和威胁情报下人机的协同作战。
四、应用案例
以下分享基于Soar实现封锁清除失陷主机并加固的流程:
平台在检测到类似漏洞信息后,开始分析流程,对靶机进行判断检测,判断如确认遭受漏洞攻击,系统自动流转到处置环节开启全境扫描封锁。对于确认未感染的机器,平台直接完成补丁加固或规避方案;对已经感染的主机统一进行网络访问控制ACL隔离、删除响应定时任务和可疑文件等操作,防止被感染靶机横向扩散。在检测过程中,如若确定威胁误判,系统可自动生成运维工单,提醒安全工程师对规则进行补充和更新,减少误报频率。
五、小结
Soar平台可以企业SOC运营降低较多成本。传统一封钓鱼邮件可能需要1-2小时完成响应,建立平台后可在5-10分钟内进行溯源分析;传统封闭某个IP地址或网段需要网络工程师5-10分钟的操作时间,在搭建平台后可实现10秒内完成封禁。
?
-全文完-
您可能关注的文档
- 基于互联网+时代的财务转型战略研究.docx
- 基于云端技术的箱式热处理电阻炉控制系统设计.docx
- 基于三元三阶的NB-IoT智能抄表故障定位方法研究.docx
- 基于LoRa鱼塘检测系统设计与实现.docx
- 基于CANape与LabVIEW搭建DCT数据采集系统.docx
- 2024年江西省瑞安市六校联盟九年级数学第一学期开学调研试题【含答案】.doc
- 2024年江西省上饶县九年级数学第一学期开学学业质量监测模拟试题【含答案】.doc
- 2024年江西省瑞金市瑞金四中学数学九上开学学业水平测试模拟试题【含答案】.doc
- GB/T 44426.1-2024躺卧保护组织完整性的辅助器具 第1部分:一般要求.pdf
- 《GB/T 44426.1-2024躺卧保护组织完整性的辅助器具 第1部分:一般要求》.pdf
- 2024年江西省寻乌县九上数学开学复习检测模拟试题【含答案】.doc
- 2024年江西省省宜春市袁州区数学九上开学学业水平测试模拟试题【含答案】.doc
- 《GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语》.pdf
- 中国国家标准 GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语.pdf
- GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- 《GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构》.pdf
- 中国国家标准 GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 中国国家标准 GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 《GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南》.pdf
文档评论(0)