首页 > 关于安博通 > 新闻中心
SOAR实践:复杂网络环境下,安全运营如何做到标准化、智能化?
2024-08-16
830


网络环境的复杂性和动态性日益增加,传统安全运营模式碰上了“硬茬子”。


传统安全运营的挑战


1、人效不足:运维人员紧缺,工作压力大,造成人才流失;技能专业性强,重复性劳动多,导致效率不高。


2、告警太多:存在大量无效告警和误告警,处理起来费时费力,告警消除的速度远远小于产生的速度。


3、应急响应慢:从网络被攻击到应急响应,间隔时间依然太长。


4、难以标准化:安全运营的流程难以标准化,不利于知识和经验的积累、传递。


5、协同性较差:人员、工具、流程相互割裂,缺乏整合、缺少协同,制约了安全能力的整体提升。


1.jpg


安博通基于SOAR(安全编排、自动化和响应)技术,推出网络安全智能运营与协同响应平台,集成多种安全工具和自动化流程,可以显著提高安全运营的效率和响应能力。

 

SOAR“升级”安全运营

 

资产管理,锁定资产暴露面

 

·  自动发现资产:SOAR平台可以集成网络扫描工具和CMDB(配置管理数据库)系统,自动发现、自动更新网络中的资产信息。通过定期扫描和实时监控,确保资产信息的准确性与完整性。

 

·  资产优先级排序:根据资产的业务价值和风险级别,自动进行优先级排序。例如,将关键业务服务器标记为高优先级,并针对其制定更加细致的安全策略。

 

·  识别修复漏洞:结合漏洞扫描工具,自动识别并记录资产漏洞。通过自动化工作流,分配漏洞修复任务,跟踪修复进度,扫描验证修复效果。

 

多源数据整合,提升态势感知能力

 

·  威胁情报聚合:SOAR平台能够从多种来源收集威胁情报,并自动与内部日志和事件关联分析,提供全面实时的威胁情报视图。

 

·  日志集中处理:通过第三方系统集成,统一处理海量日志数据。应用机器学习、行为分析等先进技术,识别数据中的潜在威胁和异常活动,触发相应的响应机制。

 

·  跨平台数据协作:集成各种安全工具,包括防火墙、入侵检测、端点检测与响应等,实现跨平台数据协作。通过统一的数据标准和接口,协调不同工具之间的信息共享,提升整体网络安全态势感知能力。

 

运营自动化,增加人效产出比

 

·  事件响应自动化:SOAR平台通过预定义的工作流程,可以自动处理常见的安全事件(钓鱼攻击、恶意软件感染等)。能够执行数据收集、威胁分析、隔离和修复等,减少人工投入时间。

 

·  流程自动优化:对安全运营流程进行自动优化。例如,入侵响应流程在检测到异常行为时,会自动隔离被感染的设备,并通知管理员。此外,还可不断学习优化工作流,提高响应效率和准确性。

 

·  合规管理自动化:自动生成合规性报告,记录安全事件的处理过程,确保流程符合法规要求。通过自动化合规管理,减少审计工作量,提高合规过程的透明度和可追溯性。


2.png


SOAR在能源行业的实践

 

某省电力公司在日常安全运营时,工作内容和流程多,安全隐患排查、常态监测分析、安全事件处置等工作对人员的依赖程度较高,亟需对安全运营进行提质增效。


该电力公司部署了网络安全智能运营与协同响应平台(SOAR),在资产管理、多源数据整合及运营自动化方面,及时识别和响应安全威胁,提升了整体安全防御能力。


实践价值


·  实时发现并监控网络中的所有设备,自动更新资产数据库,并进行风险评估与优先级排序,确保关键资产受到重点保护。例如,当新设备接入网络时,SOAR平台会自动识别设备,评估其安全状态,并根据策略自动配置防护措施。

 

·  支持接入多种安全工具和数据源,如防火墙、入侵检测(IDS)、终端安全管理(EDR)等,通过数据融合与关联分析,生成全方位安全态势视图。例如,当入侵检测发现可疑活动时,SOAR平台会自动获取相关日志和流量数据,进行威胁分析,并触发响应处理流程。

 

·  通过预定义的自动化工作流,快速响应安全事件,自动完成从初步分析到最终解决的所有处理流程。例如,检测到钓鱼邮件后,SOAR平台可以自动提取邮件中的恶意链接,进行分析并告知受影响的用户,同时生成报告反馈安全团队。

 

SOAR平台可以帮助企业机构有效应对复杂多变的网络环境,在保障网络安全的基础上,满足企业机构业务发展的长期需求,推进安全运营的智能化和自动化进程。


联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。