安全编排自动化响应(SOAR)技术参考架构
近日,工业和信息化部公告(2024年第18号)批准发布了多项行业标准,由中国通信标准化协会提出并归口,安恒信息牵头制定的YD/T 4966-2024《安全编排自动化响应(SOAR)技术参考架构》发布,并将于10月1日正式实施。
随着网络安全建设进程的不断深化,安全保障工作的重心正逐步从建设期向运营期转移,但用户现网环境中部署大量的基于单点工作机制的网络安全产品,网络安全技术之间的整合度低、联动性不强,运营人员在工作中被迫不断地在不同的工具之间来回手工切换,使得在应对网络安全事件时不能高效地处理事件,由此出现一系列的问题,如:安全设备系统孤立,资源浪费;海量告警无法处置,时效低下;分析经验难以固化,不利传承;安全信息共享障碍,沟通不畅等等。
安全编排自动化响应技术是一种为安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。在网络安全策略的不断演进优化过程中,系统安全从简单防范方法的组合向融合检测、响应、预防的全新安全防护体系转变。SOAR技术可用于增强组织在面临威胁时预测、防御、检测和响应等能力。在结合数据整合、能力集成和分析功能、AI人工智能和机器学习等新技术之后,SOAR技术开始具备智能编排能力,可以实现安全事件的自动化/半自动化响应。未来在结合大模型技术后,将运营专家的决策能力与机器的高效处理能力深度融合,实现安全运营效能的指数提升。
在常态化的安全运营过程中,利用安全场景编排能力实现安全事件的快速智能响应,基于大数据分析、威胁情报对威胁来源、影响范围快速定位和精准识别,以及7*24小时网络威胁持续监测能力的提升等应用场景,SOAR技术得到广泛和有效的应用。
在SOAR技术广泛应用并极大提升安全保障和防护效能的过程中,对安全编排自动化响应的技术架构和主要环节的技术要求一直处于空白,亟需制定相应技术标准,规范技术,扩大行业应用范围,提升产品的市场规模。
YD/T 4966-2024《安全编排自动化响应(SOAR)技术参考架构》提出的安全编排自动化响应(SOAR)的技术参考架构,如下图所示:
安全编排自动化响应参考架构至少包括数据处理单元、响应策略控制单元、编排策略控制单元、安全能力集成单元。
数据处理单元对接入的数据进行分析、处理,将非结构化数据解析成SOAR内部可流转的结构化数据;
响应策略控制单元集中管理响应策略配置参数,针对不同数据实现响应策略规则制定、策略解析、策略执行;
编排策略控制单元通过安全编排设计器对安全事件响应流程中所需的安全能力接口、人工处理接口等资源进行管理,并实现编排策略的制定,通过工作流引擎实现编排策略的解析、执行;
安全能力集成单元制定安全能力集成方式与接口对接方式,对安全资源池进行资源集成开发后的安全应用程序以及安全能力接口进行集中管理。
YD/T 4966-2024《安全编排自动化响应(SOAR)技术参考架构》将有效指导安全编排自动化响应(SOAR)的使用方、运营方、研发方和第三方测评机构等对安全编排自动化响应进行设计、开发、测试、运维。YD/T 4966-2024的发布实施,将为行业提供参考,将对安全编排自动化响应技术的应用及产品建设有重要的影响和对SOAR在国内市场的推广具有重大的意义。
安全编排自动化响应产品
在网络安全领域,安全编排自动化响应的产品、平台已经较为丰富,有代表性的产品如安恒AiLPHA安全编排与协同响应管理平台。
安恒AiLPHA安全编排与协同响应管理平台是一款结合AI人工智能、机器学习技术与安全编排的产品,能够从各种安全工具和系统中收集告警信息和整合安全能力,它能够与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等集成,从而实现全面的安全能力联动;并通过智能编排来提高安全团队的效率和响应能力,帮助安全团队减少手动操作的工作量,从而提高响应速度和准确性。与此同时,通过引入最前沿的大模型技术,学习和适应新的威胁模式,提高对位置威胁的检测能力。将运营专家的决策能力与机器的高效处理能力深度融合,实现网络威胁可视化、防御主动化、响应自动化、运营智能化的建设目标,实现安全运营效能的指数提升。
安恒AiLPHA安全编排与协同响应管理平台在金融、企业、政府、运营商等多个领域部署,持续性网络安全监测防护应用场景中,在每日精确告警1500+的压力情况下,自动化处置率高达85%以上,实现大部分威胁的秒级处置;通过全局作战室整合现场专家资源,实现非自动化响应事件的标准化响应流程,实现人工处置事件小于3分钟,在采用YD/T 4966-2024相关技术架构后,有效解决了资源整合弱、分析效率低、无标准流程等痛点问题。
安恒信息作为网络安全行业中的重要力量,在为各行各业提供高质量创新网络安全产品与服务的同时,多年来一直积极参与网络安全相关标准的研究与制定工作。在行业标准YD/T 4966-2024的研制过程中,安恒信息与行业内各相关单位一起,基于技术与应用的最佳实践,积极贡献产业技术力量,用丰富的网络安全产品与服务经验去验证、探讨网络安全标准的科学性、合理性与可操作性,推动网络安全产品与服务标准化进程,为促进我国网络安全产业的高质量发展贡献力量。
将“安恒信息”微信公众号设为星标 关注信息不走丢哦!往期精彩回顾喜报!安恒信息数字人才创研院院长苗春雨荣获2024年CCSIA杰出贡献奖
2024-08-13
医疗数据只汇集不敢用,不会用?交给安恒信息“数据内循环”(内含超详细操作流程)
2024-08-12
威胁猎人+AI=?安恒信息在BlackHat上给出答案!
2024-08-09
(安恒信息)
本文作者可以追加内容哦 !
