loading...

通过SOAR(安全编排、自动化与响应)加快事件响应

类别: 行业新闻        发布于: 2020-07-31 38:11:40

近年,新漏洞及利用方法不断出现,这意味着安全专业人员需要不断地响应各类安全事件。由于要保护的资产(设备,Web应用程序,服务器等)过多,我们往往很难优先决定那些应首先解决的问题。

幸运的是,对于许多资源紧张、目标明确的公司而言,SOAR(安全编排、自动化与响应,下同)技术是十分有用的工具。

 

图:碳泽® 千乘SOAR平台产品 – 工作流构造器

在这篇文章中,您将了解到:

  • 如何使用SOAR来改进事件响应计划
  • 最流行的SOAR事件响应用例
  • 识别何时适合应用SOAR的提示
  • SOAR如何提高事件响应能力

成熟的SOAR解决方案为业务及资产安全等很多领域提供了增强的事件响应能力,最为凸显的部分诸如以下三点:

改善响应正常运行时间

如果没有积压工作就意味着您可以将正常运行时间提高到100%,您会怎么做?

如果配置正确,SOAR工作流可以通过自动处理常规问题,来帮助防止新安全事件的周期性堆积。在大多数情况下,这些事件需要简单的人工跟进,例如快速补丁,例行的密码更新或取消用户配置等,但它们通常会排在其他优先事项之后。

SOAR使您能够明确哪些任务可以自动处理,而不是任它们不断累加,并使整体安全状况处于危险之中。

减少错误余量

错误是真实存在的。并且,如果您曾经在警报产生之后才响应警报(尽管其中的大多数最终都会成为误报),您就会明白那种“警报疲劳”以及由其带来的那种“细节正在从缝隙里溜走”的感觉。

SOAR可以自动处理大多数警报,并且由于机器擅长遵循单调的分步程序,交由它们无疑是更好的选择。例如,SOAR工具可以定期汇总来自各种威胁情报源的恶意URL,并将条目添加到DNS漏洞中,以重定向恶意软件,从源头上防止设备被感染。即使资产受到了攻击,自动化也可以立即介入,并基于已有工作流立即检测、隔离受影响的资产,从而防止威胁持续存在于内部网络中。有了这样的自动化或半自动化流程,您的风险将会大大降低,同时也能更轻易地知道流程中的每个步骤都已得到处理。

极简化的补救方法

对任何脆弱性问题进行修复通常都很复杂,涉及多个工具。这些工具需要花费很多时间进行集成。诸如保持合规性的流程、日志记录、文档和通信等流程的精简与结构化,这些都增加了不必要的“警报疲劳”的风险。

通过利用SOAR解决方案,您可以将您的工具简单地插入预先设计的工作流程或流程中,然后由机器来处理其余的工作——除非指定或特殊情况,否则无需人工干预。

此外,通常没有这样一个可用来查看跨工具工作流运行进度的平台。这就要求安全团队从一个工具跳到另一个工具,解析数据并手动生成响应。众所周知,这样的过程十分容易出错,并且非常令人沮丧。在事件响应方面,速度和准确性是十分重要的,但是,如果信息和工作流分散且无法协同,则可能会阻碍响应进度和安全性。

值得庆幸的是,这是SOAR的另一个亮点。SOAR能够执行一组复杂的步骤并使它们自动执行,从而确保没有任何步骤遗漏,同时实时报告工作流程的状态。

实施中的自动化:常见事件响应用例

自动化用例是无限的。这是一些最常见的:

网络钓鱼攻击

网络钓鱼攻击是当今公司面临的最大安全威胁。对于某些人来说,这是不断且使人疲倦的轰炸。一旦检测到网络钓鱼电子邮件,下一步就是删除其他收件箱中的类似电子邮件。几乎没有您不希望删除网络钓鱼电子邮件的情况,但这也是一个平常的例行响应任务。SOAR可以执行此类任务,并在后台将其常态化付诸实践,而您的团队则负责其余的调查和响应,以确保处理效果,并加快响应时间。

遏制威胁

如前所述,SOAR可以轻松隔离设备,以防止攻击者对外的网络传输与向其他资产的横向移动。SOAR可能还需要更改用户权限,以阻止受感染帐户执行恶意代码,窃取数据或关闭站点或应用程序。编排和自动化功能可以在检测到触发事件时(例如特权提升)或检测到恶意软件时禁用相应的账户。它还可以通过自动监视和终止进程以及跟踪文件许可权和更改来帮助终结点修复。所有这些都可以在后台运行:快速,准确地处理关键而繁琐的任务。

修补漏洞

发现新漏洞后的30天内,漏洞遭到利用的可能性是最大的。但只要任何形式的修复程序一经发布,SOAR就具备帮您修补严重漏洞的能力,从而确保不存在任何滞后,并关闭那些攻击者可以攻入的口子。您可以在需要时维护人工决策点,定制工作流,创建、导入一组补丁程序,并告知IT团队它们已准备好执行。

+ SOAR =大规模事件响应

自动化技术是一种战略性应用,一方面减轻繁琐的重复性任务,另一方面使您的团队能够做出更好的决策,并更快地响应最重要的事情。作为现有团队和工作流程的补充,SOAR可以帮助您改善安全状况及响应质量。我们的碳泽®千乘SOAR平台能够基于多样且贴合大多数企业业务需求的工作流模板,包括事件响应、补丁自动修复,威胁情报通知以及防火墙联动的恶意URL组织等,配合近300个本地化社区插件,十分有效且高效地为您向既有信息系统引入SOAR能力。

准备好让SOAR技术为您的安全运营工作添砖加瓦了吗?

联系我们的销售顾问

image-missing