• 一、SOAR的產(chǎn)生背景
• 二、SOAR的核心能力
• 三、SOAR的應(yīng)用效果
• 四、總結(jié)

一、SOAR的產(chǎn)生背景

隨著網(wǎng)絡(luò)安全攻防對抗的日趨激烈，傳統(tǒng)的網(wǎng)絡(luò)安全防范和阻止策略已不足以應(yīng)對現(xiàn)有的網(wǎng)絡(luò)攻擊。企業(yè)和組織必須更加注重在網(wǎng)絡(luò)安全檢測與響應(yīng)方面的防范工作，即在假定網(wǎng)絡(luò)已經(jīng)遭受攻擊的前提下，構(gòu)建集阻止、檢測、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。在這一背景下，安全編排自動化與響應(yīng)（Security Orchestration Automation and Response，簡稱SOAR）應(yīng)運(yùn)而生。SOAR是一系列技術(shù)的合集，以安全編排和自動化為核心，將人、流程、技術(shù)和工具進(jìn)行整合，輔助安全運(yùn)營人員日常工作，提升安全運(yùn)營效率。

二、SOAR的核心能力

安全編排與自動化響應(yīng)平臺（SOAR）通過編排和執(zhí)行安全劇本的方式，完成原來需要多人多系統(tǒng)多界面在線協(xié)同才能處置的安全任務(wù)，大幅節(jié)約響應(yīng)時間，降低人員依賴，提升工作效率，保障應(yīng)急處置質(zhì)量，整體提高安全團(tuán)隊(duì)MTTR（平均響應(yīng)時間）水平。

安全編排自動化響應(yīng)架構(gòu)如下所示，主要包括建設(shè)消息接入層、響應(yīng)策略層、案例管理層、編排策略層，與安全原子能力對接，實(shí)現(xiàn)對安全能力的可視化編排與自動響應(yīng)。

安全編排與自動化響應(yīng)平臺架構(gòu)圖

1. 安全資源管理：建立安全資源池，對接入的安全設(shè)備及調(diào)用接口等提供安全能力資源進(jìn)行統(tǒng)一納管，為安全能力封裝提供基礎(chǔ)。
2. 原子動作管理：面向接入的安全資源進(jìn)行原子動作配置，實(shí)現(xiàn)原子能力的一鍵接入、快速應(yīng)用。
3. 編排劇本管理：通過界面化的圖形拖拽實(shí)現(xiàn)安全劇本流程的可視化編排，輔助安全人員建立合理的工作流程。
4. 安全規(guī)則管理：可自定義響應(yīng)字段與對應(yīng)響應(yīng)方式，靈活配置響應(yīng)規(guī)則，輔助安全人員進(jìn)行決策。
5. 人機(jī)協(xié)同作戰(zhàn)室：引入RAP技術(shù)，建設(shè)虛擬作戰(zhàn)室，提供多重功能，通過人機(jī)對話快速實(shí)現(xiàn)應(yīng)急響應(yīng)，實(shí)現(xiàn)安全應(yīng)急響應(yīng)的行業(yè)賦能。

三、SOAR的應(yīng)用效果

1. 響應(yīng)安全監(jiān)管要求，提升行業(yè)合規(guī)標(biāo)準(zhǔn)：SOAR解決網(wǎng)絡(luò)安全響應(yīng)痛點(diǎn)，減少安全工作對人工的過度依賴，提高企業(yè)應(yīng)對突發(fā)信息安全的處置能力，對政府信息安全維穩(wěn)起到了積極作用，提升了行業(yè)合規(guī)標(biāo)準(zhǔn)。
2. 提高安全應(yīng)急能力，創(chuàng)造安全增量價(jià)值：SOAR解決了多人員多角色的協(xié)同問題、多環(huán)節(jié)多流程的流轉(zhuǎn)問題以及多工具多標(biāo)準(zhǔn)的使用問題，提升了企業(yè)安全應(yīng)急能力。
3. 助力企業(yè)降本增效，實(shí)現(xiàn)安全能力行業(yè)賦能：SOAR實(shí)現(xiàn)了安全資源的統(tǒng)一利用與調(diào)度，通過引入自動化手段提升效率，減少了應(yīng)急響應(yīng)人員的投入，并實(shí)現(xiàn)了安全能力的行業(yè)賦能。

四、總結(jié)

SOAR的出現(xiàn)有效緩解了人工處置水平參差不齊、安全工作重復(fù)單一、威脅情報(bào)種類繁多等問題，大大提高了網(wǎng)絡(luò)安全事件的處置效率。鵬信科技SOAR安全編排自動化響應(yīng)平臺通過運(yùn)用可視化編排組件、人機(jī)協(xié)同，引入流程引擎、AI引擎等技術(shù)，有效解決應(yīng)急響應(yīng)時間長、效率低的問題。平臺集成各方處置能力、監(jiān)測能力，封裝成一個個原子能力，并提供對外輸出的標(biāo)準(zhǔn)API接口，打造流程自動化的應(yīng)急響應(yīng)中心，為安全自動響應(yīng)提供了高效的解決方案。