APT防护十年:终于有人把SOAR这件事讲清楚了

大数据/数据服务
安全牛
王小瑞
2018-12-08 11:45
[ 亿欧导读 ] 安全运营过程可以总结为七个层级,即:准备 --> 发现 --> 分析 --> 遏制--> 消除 --> 恢复 --> 优化。
安防,信息安全,亚信安全,数据安全,安全运营 图片来自“123rf.com.cn”

【编者按】日前,亚信安全在京召开高级威胁治理十周年暨XDR战略发布会,到场的安全专家从高级威胁治理,讲到安全运营、自动化编排与响应,再到一切皆响应的XDR战略。文章详细讲述了安全运营、自动化编排与响应以及XDR战略,详细内容见下文。

文章转载自“安全牛”,原作者王小瑞,经亿欧整理编辑发布,供业内人士参考。


趋势科技(趋势科技中国为亚信安全的前身),早在十多年前就开始涉足高级威胁防护的领域。从最早的威胁发现设备(TDA,2005年发布),到深度威胁发现产品平台(Deep Discovery,2007年) 的正式推出,再到2011年的SOC,2015年的APT治理战略2.0,走到了今天的一切皆检测与响应的XDR战略。

640.png

一、安全运营的四个阶段

SOC(安全运营中心)的概念和应用已经过有了很多年,但业内人熟知,SOC在中国的应用非常不成功,被人诟病。直到威胁情报、大数据、机器学习技术的引进,借助态势感知的大潮,新一代SOC,或称iSOC(智能SOC)开始兴起。亚信安全认为,安全运营可分为由成熟度由高到低的四个阶段,阻断、发现、响应和预测:

早期阶段:即基于策略、规则的防护技术,阻断已知威胁;

进阶阶段:基于行为分析、大数据、机器学习,发现未知的威胁;

高级阶段:系统可弹性恢复及安全自动化响应;

智能阶段:主动预防和自我风险评估。

早期阻断阶段最为成熟,90%的用户都能达到,但到了高级响应阶段,只有极少用户能够达到。绝大部分用户处于从发现到响应的过渡阶段,面临的典型问题,如被大量的报警淹没,远超安全运营人员的处理能力。说到这里,SOAR该登场了。

二、SOAR来了

安全编排、自动化及响应(SOAR),旨在快速检测威胁、减少安全人工分析投入、做到快速响应,以提高安全运营的效率。从中可以看出,检测与响应是SOAR的核心,目标直指SOC的最被诟病的问题。

亚信安全认为,从发现到响应的能力构成可分为四步:

1)告警受理:对警报进行分类以及划分优先级,可用预处理脚本来自动化执行;

2)定性分析:判断威胁的真实性,确认威胁的本质及攻击者意图,主要基于威胁情报和沙箱技术;

3)定量分析:调查取证,回溯攻击场景,评估威胁的严重性、影响和范围。可基于端点检测与响应,网络流量分析,以及远程检测与响应(MDR);

4)响应:根据响应脚本,执行响应策略。可做到产品联动,自动化执行响应脚本。

在Gartner的报告里,SOAR平台的核心组件为,编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠:

1)精密编排的联动安全解决方案(SOA);

2)事件应急响应平台(IR);

3)威胁情报平台(TI)。

641.jpg

在这个体系里,包括了APT防范、云安全、态势感知、身份管理、终端安全、威胁情报、取证溯源等产品技术,而这些技术正是亚信安全的优势所在,全面覆盖了SOAR体系。

三、一切皆响应:XDR战略

近几年检测与响应(DR)的大趋势,已是不争的事实。不管是端点安全、网络安全,还是远程运营,都加上了个DR。EDR,NDR,MDR,SOAR……但在实际应用中,检测还是占据主要地位。因此,亚信安全本次的发布会旨在呼吁业界重视响应能力的建设。非常有价值的是,亚信安全通过一些真实的应用案例,将整个安全运营过程总结为七个层级,值得业内人士的借鉴与参考:

准备 --> 发现 --> 分析 --> 遏制--> 消除 --> 恢复 --> 优化

各工作岗位将被AI取代的概率

选择岗位,查看结果

制图员和摄影师

87.9%

参与评论

最新文章

关闭

快来扫描二维码,参与话题讨论吧!

快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道
意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部