文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

下一代SOC的支点:如何选择SOAR解决方案?

2024-12-03 09:56

关注

众所周知,下一代SOC的重点是提高检测和响应能力。但是今天的现状是,SOC运营团队不堪重负,误报率居高不下,MTTR(平均响应时间)表现迟迟难以提升。因此,安全业界和企业安全团队对SOAR解决方案寄予厚望,期望通过部署SOAR在检测和响应威胁方面大幅提高SOC效率。

[[386342]]

但是,甲方企业也需要意识到,如果实施不正确,SOAR解决方案同时也会带来新的挑战。如果没有适当的计划,采用安全自动化工具的企业可能会成为常见失误的受害者,这些失误会迅速导致效率降低和安全状况变差。

总之,企业选择合适的SOAR解决方案,需要考虑多种因素。以下是几位国外安全专家对SOAR选型给出的见解和建议:

Palo Alto Networks产品策略副总裁Rishi Bhargava

实施SOAR解决方案并非从“我没有”到“好,现在我有了”这么简单。企业需要评估其安全工具堆栈和现有流程,然后相应地选择其部署方法。

无论您在选择或实施SOAR的哪个阶段,上述注意事项都将确保您所在的企业处于最佳路径。

Micro Focus SecOps产品经理GamzeBingöl

SOAR解决方案的根本目的是通过自动化和编排技术帮助安全人员提高检测和响应网络威胁的能力。

Exabeam欧洲、中东和非洲地区安全策略高级总监Richard Cassidy

SOAR解决方案应使团队能够跨大量不同的数据流自动进行识别和响应过程,从而使威胁和漏洞的优先级划分几乎无缝衔接,并且在安全运营效率上要高得多。

如果实施正确,安全运营中心(SOC)可以从使用SOAR解决方案中受益,从而帮助他们更快,更有效地应对威胁。

将SOAR与其他安全工具集成在一起,例如安全信息和事件管理(SIEM),可以通过自动化来改变SOC团队的业务和技术成果,同时还可以提高效率。

企业可以使用SOAR来增强SIEM的功能,从而提供全面的解决方案。SIEM以一种有用的方式收集和存储数据,SOAR可以使用它来自动调查事件并做出响应,并减少对人工操作的需求。

而且,对于SOC团队迄今为止最大的挑战——误报,SOAR解决方案可以帮助采集信息,对重复警报进行优先级排序和合并,以减少误报的数量。

科迪康奈尔大学首席战略官,Swinlane

在考虑SOAR解决方案时,企业需要从两个角度进行思考:安全运营自动化需要解决的问题是什么,需求是什么?将来如何利用自动化?

首先,您使用的工具或针对您的对手是静态的,还是动态的?当然,绝大多数情况下答案都是后者。因此,您应该选择可以快速集成快速扩展的解决方案——不仅足以满足当今的需求,而且还能够满足未来的需求。

其次,当您查看攻击者技术的变化时,您是否认为攻击者也会拥抱自动化?事实上攻击者不仅使用自动化来运行扫描,而且还使用DevOps方法来为每个攻击目标构建唯一的基础架构。

如果这种情况继续下去,您将需要一个自动化平台,该平台能够在无需人工干预的情况下,对案件和警报中的危害指标(IOC)和其他情报进行追溯和调查。

Splunk安全布道者Matthias Maier

选择SOAR平台时应考虑几个不同的标准,以及使用哪些标准:

(1) 核心能力

这些可以被认为是SOAR平台的基本组成部分和功能,用户可以轻松识别。其中的一些重要组件例如编排器、负责指导和监督与给定安全方案有关的所有活动。编排器需要最佳化利用可用资源,这一点至关重要。另一个是自动化引擎。由于自动化任务是独立运行的,并且在很大程度上不需要人工干预,因此平台可伸缩性和可扩展性等属性是要考虑的重要标准。案例和预案管理也应予以考虑。

(2) 平台属性

这属于定性标准。通过观察和与平台的交互,可以更频繁地评估这些标准。SOAR平台必须支持强大的社区模型,并易于共享应用程序集成和剧本。了解SOAR平台在垂直和水平方向上如何扩展也很重要。随着时间的推移添加用例,平台上将增加额外的处理负载。开放、移动友好且易于使用的平台也是关键考量因素。

(3) 商业考虑

其中包括公司为增强其核心技术而提供的增值服务,例如培训和支持。无论公司的核心技术多么出色,在传统上被认为是对购买者的决策过程产生重大影响的产品之外的其他因素也需要给予关注。

SIRP首席执行官Faiz Ahmad Shuja

一项研究发现,安全专家平均每天收到840个安全警报。由于大多数警报大约需要15-30分钟才能完成手动调查,因此对于任何安全团队而言,这几乎是一项不可能的任务。

使尽可能多的工作负载自动化将使安全团队能够跟上步伐,并确保重要的威胁不会被忽略,SOAR平台是最有效解决方案之一。

成功集成SOAR的最重要步骤是为所有安全流程提供可靠的文档。对于所有主要流程,都需要有完善的响应手册。例如,如果检测到潜在的网络钓鱼电子邮件,则响应可能包括调查发件人的地址和检测欺骗的迹象,对所有URL的信誉得分和恶意脚本进行探测。一旦记录了所有这些过程,SOAR平台就可以开始自动执行它们。

另外,组织需要确保他们选择的SOAR平台具有强大的集成能力。该平台将需要与他们现有的SIEM解决方案平稳配合,并与其他安全解决方案和更广泛的IT基础架构连接。

Siemplify首席执行官Amos Stern

安全协调、自动化和响应,能够解决安全团队长久以来面临的一些最令人沮丧的挑战。

正确的SOAR平台,加上良好的实施,可以帮助减少警报过载,将组织所使用的多种不同的检测工具结合在一起,并构建自动化和可重复的流程以减少响应时间,同时又使安全分析人员摆脱了繁琐且通常是繁琐的手动工作。使他们可以专注于高价值的工作,例如搜寻威胁和建立更具弹性的安全基础架构。

SOAR解决方案的核心应该是获取警报,(通过本机API)与各种第三方检测工具集成,并使工作流程自动化。

但是,最好的SOAR可以充当集中式工作台。像Salesforce一样思考,这也适用于SOC分析师。您应该寻找的SOAR解决方案应当具备以下高级功能:

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯