SOAR(安全編排、自動化和響應)被看作是下一代SOC的標志性方案,同時也是提升安全運營效率的關鍵機制。
眾所周知,下一代SOC的重點是提高檢測和響應能力。但是今天的現狀是,SOC運營團隊不堪重負,誤報率居高不下,MTTR(平均響應時間)表現遲遲難以提升。因此,安全業界和企業安全團隊對SOAR解決方案寄予厚望,期望通過部署SOAR在檢測和響應威脅方面大幅提高SOC效率。
但是,甲方企業也需要意識到,如果實施不正確,SOAR解決方案同時也會帶來新的挑戰。如果沒有適當的計劃,采用安全自動化工具的企業可能會成為常見失誤的受害者,這些失誤會迅速導致效率降低和安全狀況變差。
總之,企業選擇合適的SOAR解決方案,需要考慮多種因素。以下是幾位國外安全專家對SOAR選型給出的見解和建議:
Palo Alto Networks產品策略副總裁Rishi Bhargava
實施SOAR解決方案并非從“我沒有”到“好,現在我有了”這么簡單。企業需要評估其安全工具堆棧和現有流程,然后相應地選擇其部署方法。
生態系統至關重要:SOAR解決方案需要能夠集成,涵蓋您當前使用的供應商工具。應該提供內部開發或自定義集成的選項。一個值得投資的SOAR解決方案,應當可以隨著企業的成長而成熟。將檢測、豐富化(enrichment)、執行等流程和相關工具很好地集成起來。
強大的工單和案例管理功能:事件響應很少以自動化來開始和結束。分析人員總是會參與事件調查。請問供應商:您的SOAR平臺是否原生提供本地案例管理,還是與相關工具集成?您可以重構事件時間表嗎?您無需大量編碼即可輕松自定義預案嗎?
集成的威脅情報管理:手動威脅情報工作流是耗時的,并且無法擴展,因此,集成的威脅情報管理自動化功能將大大減少您的平均響應時間。
靈活的部署:SOAR平臺應支持本地部署和云托管部署。對于分布式環境,請尋找可擴展并支持完全多租戶環境的方案。
無論您在選擇或實施SOAR的哪個階段,上述注意事項都將確保您所在的企業處于最佳路徑。
Micro Focus SecOps產品經理GamzeBing?l
SOAR解決方案的根本目的是通過自動化和編排技術幫助安全人員提高檢測和響應網絡威脅的能力。
網絡安全自動化:SOAR的自動化功能應通過消除誤報并自動執行重復性活動來自動處理大多數威脅。使用SOAR自動執行耗時且重復的任務,使分析師有更多時間專注于需要人工干預的案例。
開箱即用的預案:場景驅動,隨時可用的自動預案應該是SOAR即開即用的功能。隨時可用的預案可以幫助團隊將響應時間從數小時縮短至數分鐘,并將提高分析師的工作效率。
與現有工具集成:單打獨斗的安全工具不如相互補充的集成工具套件有用。SOAR很重要的一點就是需要與企業中現有安全的解決方案、IT基礎結構和技術集成,并通過加強協作和編排所有要素(就像它們都是同一解決方案的一部分一樣),充當整個安全環境的集中式樞紐。
KPI和指標:SOAR關于案例和分析師的詳細報告可以幫助管理人員了解歷史事件并更好地計劃未來的方向。
Exabeam歐洲、中東和非洲地區安全策略高級總監Richard Cassidy
SOAR解決方案應使團隊能夠跨大量不同的數據流自動進行識別和響應過程,從而使威脅和漏洞的優先級劃分幾乎無縫銜接,并且在安全運營效率上要高得多。
如果實施正確,安全運營中心(SOC)可以從使用SOAR解決方案中受益,從而幫助他們更快,更有效地應對威脅。
將SOAR與其他安全工具集成在一起,例如安全信息和事件管理(SIEM),可以通過自動化來改變SOC團隊的業務和技術成果,同時還可以提高效率。
企業可以使用SOAR來增強SIEM的功能,從而提供全面的解決方案。SIEM以一種有用的方式收集和存儲數據,SOAR可以使用它來自動調查事件并做出響應,并減少對人工操作的需求。
而且,對于SOC團隊迄今為止最大的挑戰——誤報,SOAR解決方案可以幫助采集信息,對重復警報進行優先級排序和合并,以減少誤報的數量。
科迪康奈爾大學首席戰略官,Swinlane
在考慮SOAR解決方案時,企業需要從兩個角度進行思考:安全運營自動化需要解決的問題是什么,需求是什么?將來如何利用自動化?
首先,您使用的工具或針對您的對手是靜態的,還是動態的?當然,絕大多數情況下答案都是后者。因此,您應該選擇可以快速集成快速擴展的解決方案——不僅足以滿足當今的需求,而且還能夠滿足未來的需求。
其次,當您查看攻擊者技術的變化時,您是否認為攻擊者也會擁抱自動化?事實上攻擊者不僅使用自動化來運行掃描,而且還使用DevOps方法來為每個攻擊目標構建唯一的基礎架構。
如果這種情況繼續下去,您將需要一個自動化平臺,該平臺能夠在無需人工干預的情況下,對案件和警報中的危害指標(IOC)和其他情報進行追溯和調查。
Splunk安全布道者Matthias Maier
選擇SOAR平臺時應考慮幾個不同的標準,以及使用哪些標準:
核心能力
這些可以被認為是SOAR平臺的基本組成部分和功能,用戶可以輕松識別。其中的一些重要組件例如編排器、負責指導和監督與給定安全方案有關的所有活動。編排器需要最佳化利用可用資源,這一點至關重要。另一個是自動化引擎。由于自動化任務是獨立運行的,并且在很大程度上不需要人工干預,因此平臺可伸縮性和可擴展性等屬性是要考慮的重要標準。案例和預案管理也應予以考慮。
平臺屬性
這屬于定性標準。通過觀察和與平臺的交互,可以更頻繁地評估這些標準。SOAR平臺必須支持強大的社區模型,并易于共享應用程序集成和劇本。了解SOAR平臺在垂直和水平方向上如何擴展也很重要。隨著時間的推移添加用例,平臺上將增加額外的處理負載。開放、移動友好且易于使用的平臺也是關鍵考量因素。
商業考慮
其中包括公司為增強其核心技術而提供的增值服務,例如培訓和支持。無論公司的核心技術多么出色,在傳統上被認為是對購買者的決策過程產生重大影響的產品之外的其他因素也需要給予關注。
SIRP首席執行官Faiz Ahmad Shuja
一項研究發現,安全專家平均每天收到840個安全警報。由于大多數警報大約需要15-30分鐘才能完成手動調查,因此對于任何安全團隊而言,這幾乎是一項不可能的任務。
使盡可能多的工作負載自動化將使安全團隊能夠跟上步伐,并確保重要的威脅不會被忽略,SOAR平臺是最有效解決方案之一。
成功集成SOAR的最重要步驟是為所有安全流程提供可靠的文檔。對于所有主要流程,都需要有完善的響應手冊。例如,如果檢測到潛在的網絡釣魚電子郵件,則響應可能包括調查發件人的地址和檢測欺騙的跡象,對所有URL的信譽得分和惡意腳本進行探測。一旦記錄了所有這些過程,SOAR平臺就可以開始自動執行它們。
另外,組織需要確保他們選擇的SOAR平臺具有強大的集成能力。該平臺將需要與他們現有的SIEM解決方案平穩配合,并與其他安全解決方案和更廣泛的IT基礎架構連接。
Siemplify首席執行官Amos Stern
安全協調、自動化和響應,能夠解決安全團隊長久以來面臨的一些最令人沮喪的挑戰。
正確的SOAR平臺,加上良好的實施,可以幫助減少警報過載,將組織所使用的多種不同的檢測工具結合在一起,并構建自動化和可重復的流程以減少響應時間,同時又使安全分析人員擺脫了繁瑣且通常是繁瑣的手動工作。使他們可以專注于高價值的工作,例如搜尋威脅和建立更具彈性的安全基礎架構。
SOAR解決方案的核心應該是獲取警報,(通過本機API)與各種第三方檢測工具集成,并使工作流程自動化。
但是,最好的SOAR可以充當集中式工作臺。像Salesforce一樣思考,這也適用于SOC分析師。您應該尋找的SOAR解決方案應當具備以下高級功能:
案例管理(特別是對與上下文相關的警報進行分組的能力);
集成的威脅情報;
協作(在新的遠程辦公環境中尤其重要);
儀表板和KPI(以提供可見性和洞察力);
危機管理(升級)在發生重大事件時進行跨組織的響應。