權威諮詢機構Gartner發佈的 2019 年安全編排與自動化響應解決方案(SOAR)市場指南中指出,“截止2022年,安全團隊規模超過5人的安全企業中,超過30%的企業將使用SOAR安全編排自動化響應方案”。今天綠盟君就來介紹下,企業如何藉助綠盟SOAR系統在三分鐘內完成安全編排及自動化響應。
從安全事件處置流程看企業在安全運營中的痛點及訴求
在企業傳統的安全運維及事件處置中,一般遵循以下流程:
表:傳統安全運維流程
經過以上的7步,一個信息安全事件的處置流程才算是結束。在該過程中,會有多個部門不同角色參與,處置流程較繁瑣,效率難以量化,不同事件的處置流程難以統一標準化。
同時企業在安全運維中還常常面臨著以下痛點:事件告警太多,有效事件告警被淹沒,導致安全事件難以及時處置。企業側往往缺乏安全分析及處置的專業人員,安全分析經驗難固化,而且安全專家很容易陷於重複的安全處置工作中,以至很難發揮出其真正的價值。最重要的是,企業受到流程及人員的制約,傳統安全響應處置的時間過長。
因此企業在安全運營發展及演變中增加了以下的訴求:
提高信噪比:增加有效高保真告警,使有限的安全專家資源專注投入於真正需要危險和問題上。
降低MTTR: 固化安全處置流程,不斷積累運營經驗,持續運營,使得響應處置時間不斷降低。
綠盟科技SOAR安全編排及自動化響應方案
圖:綠盟SOAR組件入口
ISOP智能安全運營平臺已經融合了SOAR安全編排自動化響應功能,從綠盟ISOP智能安全運營中心運維響應-聯動編排入口,即可使用安全編排及自動化響應處置功能,開啟企業自動化安全編排響應之旅。
圖:綠盟SOAR安全編排及自動化響應方案
ISOP中SOAR組件通過可視化編排將人、安全技術、流程進行深度融合;通過人工運維經驗固化而來的Playbook劇本串並聯構建安全事件處置的工作流,自動化觸發不同安全設備執行響應動作,案例管理基於對安全事件上下文有更全面、端到端的理解,幫助企業將複雜的事件響應過程和任務流轉變為一致的、可重複的、可度量的和有效的工作流,變被動應急響應為自動化持續響應。
五大核心助力企業實現安全編排響應
1、全生命週期案例管理
圖:案例管理
案例是SOAR組件中最基礎的功能,貫穿整個安全事件處置生命週期,包括信息安全事件研判所需的日誌源、安全規則、情報取證及事件處置Playbook劇本的選擇及執行。企業中告警安全事件只要能夠匹配到案例,即可完成自動化響應處置,案例對安全事件上下文有更全面、端到端的理解,有助於將複雜的事件響應過程和任務轉換為一致的、可重複的、可度量的和有效的工作流。
在企業安全運營中,可將常見的安全事件與SOAR不同類別的案例建立對應關係,同一性質的案例(如:挖礦、入侵、拒絕服務、勒索、釣魚、盜鏈、信息洩露等)可以選擇一類相通的處置方法,案例的流程處理功能可以為不同性質的案例指派不同的Playbook劇本,並監督執行完成企業安全事件自動化閉環響應處置。
2、可視化安全拖拽編排
圖:可視化案例編排1
圖:可視化案例編排2
ISOP中SOAR組件內置了一些常見攻擊對應的案例,除此之外,企業可通過可視化拖拽編排方式快速創建案例及其對應Playbook劇本,安全研判不同步驟間往往具有依賴關係,安全事件分析過程通過可視化拖拽方式,為安全處置提供上下文,避免傳統運維要在不同頁面間進行跳轉切換,降低安全事件處置複雜度。案例一旦創建成功啟用,後續命中案例的事件即可通過自動化方式進行處置,降低了不同部門間協同溝通、流程流轉消耗的成本。
圖:案例處置流程跟蹤
案例可以幫助企業對一組相關的事件進行流程化、持續化的調查分析與響應處置跟蹤記錄,案例執行過程中,安全事件每個中間過程執行狀態(成功、執行中、失敗)均可在可視化編排流程中進行展示,進而實現端到端運維流程可視化。
3、Playbook劇本自動化處置
圖:劇本Playbook運行狀態
Playbook劇本等同於安全工程師的工作流程,可驅動與案例匹配事件的自動化閉環安全處置,ISOP SOAR模塊可能會涉及到多個劇本併發執行,不同劇本的運行狀態可通過界面進行全局概覽(正在執行、執行成功、失敗)。
企業中安全事件處置流程經驗可以固化為Playbook劇本,並應用於自動化響應處置中,處置的動作可包括設備封堵、工單發送、郵件通知等,這樣安全專家就可以從繁瑣重複的安全運維中釋放出來。
4、插件化響應設備集成
自動化安全編排響應“最後一公里路”封禁響應一般由安全設備進行執行,綠盟ISOP一鍵封堵模塊前期已經積累了大量的響應處置設備,如防火牆、ADS、UTS、IDS、WAF等,響應的動作包括:會話封堵、IP封禁、域名黑名單、流量牽引清洗等,這些設備無需二次開發,即可直接通過SOAR模塊實現即插即用。只需要根據第三方設備提供的北向管控接口開發插件,就可完成第三方設備自動化聯動編排響應。
接入到SOAR系統的安全設備,通過Playbook劇本調用,即可完成自動化響應處置,無需安全運維人員登錄到獨立的安全設備上配置阻斷策略。
5、自動化運維大屏展示
圖:自動化運維大屏展示
自動化運維大屏可從全局視角呈現企業自動化響應處置概況,如自動響應運營效率、案例事件統計信息、案例事件處置趨勢、劇本執行信息等,將運維指標通過可度量可量化方式進行展示。
綠盟SOAR系統為企業安全運營帶來的價值
1、降低安全事件處置時間MTTR
對於已知案例事件,通過案例匹配觸發機制,企業可在三分鐘內完成安全編排及自動化閉環響應流程。
表:傳統運維時效與自動化運維響應處置時間對比
2、將安全運維人員從重複工作中釋放出來
將安全專家的經驗固化成Playbook,實現已知攻擊分析、研判、處置全流程自動化,這樣安全專家即可將精力投入到紅藍對抗、威脅狩獵、威脅建模、APT分析、漏洞挖掘等需要高級安全技能的工作場景,為企業安全運維工作創造更高的價值。
3、安全處置流程標準化,降低部門間協同溝通成本
SOAR系統的精髓是不同威脅場景對應的研判策略和處置策略的選擇,這也正是Playbook在企業攻防對抗競爭中的核心價值體現之處,運維流程的標準化是Playbook劇本固化的前提,可藉助SOAR Playbooks生成為抓手,變繁雜不規矩的處置流程標準化,夯實企業信息安全運營流程標準化建設。
總結
綠盟智能安全運營平臺(ISOP)已經很好地支撐了安全威脅實時預警、資產及漏洞全生命週期管理、安全態勢全面監控等企業安全運營場景。SOAR模塊的融合為企業安全運營提供了一種全新的模式,將人、技術、流程深度融合,變傳統的人工監測、預警、分析、多部門流轉響應處置為安全編排及自動化響應處置,提高了企業安全運維效率,降低了企業安全運營成本,助力企業在體系化安全建設大潮中迅速轉型。
參考文檔:Gartner 2019 Market Guide for Security Orchestration, Automation and Response Solutions
閱讀更多 綠盟科技 的文章
