SOAR(安全编排、自动化和响应)被看作是下一代SOC标志性方案也是提高安全运行效率的关键机制。
众所周知,下一代SOC重点是提高检测和响应能力。但今天的情况是,SOC运营团队不堪重负,误报率居高不下,MTTR(平均响应时间)性能难以提高。因此,安全行业和企业安全团队对SOAR解决方案寄予厚望,希望通过部署SOAR大幅提高了检测和响应威胁SOC效率。
但甲方企业也需要意识到,如果实施不正确,SOAR解决方案同时也会带来新的挑战。如果没有适当的计划,采用安全自动化工具的企业可能会成为常见失误的受害者,这些失误会迅速导致效率降低和安全状况变差。
总之,企业选择合适的SOAR有许多因素需要考虑解决方案。以下是几位外国安全专家SOAR对选型给出的见解和建议:
Palo Alto Networks产品战略副总裁Rishi Bhargava
实施SOAR解决方案不是从“我没有”到“好吧,现在我有了”这么简单。企业需要评估其安全工具堆栈和现有流程,然后选择相应的部署 *** 。
- 生态系统至关重要:SOAR解决方案需要能够集成,涵盖您目前使用的供应商工具。应提供内部开发或自定义集成选项。值得投资SOAR随着企业的成长,解决方案应该成熟。检测和丰富(enrichment)、实施过程和相关工具集成得很好。
- 强大的工单和案例管理功能:事件响应很少以自动化开始和结束。分析师总是参与事件调查。供应商:您SOAR平台是提供本地案例管理,还是与相关工具集成?您能重建事件时间表吗?您能轻松定制计划而无需大量编码吗?
- 集成威胁情报管理:手动威胁情报工作流耗时,无法扩展。因此,集成威胁情报管理的自动化功能将大大降低您的平均响应时间。
- 灵活部署:SOAR平台应支持本地部署和云托管部署。对于分布式环境,请寻找可扩展和支持多租户环境的方案。
无论你在选择还是实施SOAR上述注意事项将确保您的企业处于更佳路径。
Micro Focus SecOps产品经理GamzeBingöl
SOAR解决方案的根本目的是帮助安全人员提高检测和响应 *** 威胁的能力,
- *** 安全自动化:SOAR大多数威胁应通过消除误报和自动执行重复活动自动处理。SOAR自动执行耗时重复的任务,使分析师有更多的时间专注于需要人工干预的案例。
- 开箱即用计划:场景驱动,随时可用的自动计划应该是SOAR即开即用的功能。随时可用的预案可以帮助团队将响应时间从数小时缩短至数分钟,并将提高分析师的工作效率。
- 与现有工具集成:单打独斗的安全工具不如相互补充的集成工具套件有用。SOAR与企业现有的安全解决方案相比,非常重要的是,IT通过加强合作和安排所有要素(就像它们是同一解决方案的一部分一样),基础设施和技术集成是整个安全环境的集中枢纽。
- KPI和指标:SOAR案例和分析师的详细报告可以帮助管理者了解历史事件,更好地规划未来方向。
Exabeam欧洲、中东和非洲安全战略高级总监Richard Cassidy
SOAR解决方案应使团队能够自动识别和响应大量不同的数据流,从而使威胁和漏洞的优先划分几乎无缝连接,安全运行效率要高得多。
若实施正确,安全运营中心(SOC)可以从使用SOAR从解决方案中受益,帮助他们更快更有效地应对威胁。
将SOAR与安全信息、事件管理等其他安全工具集成(SIEM),自动化可以改变SOC团队的业务和技术成果也能提高效率。
可用于企业SOAR来增强SIEM从而提供全面的解决方案。SIEM以有效的方式收集和存储数据,SOAR它可以用来自动调查事件并做出反应,减少对人工操作的需求。
而且,对于SOC到目前为止,团队更大的挑战——误报,SOAR为了减少误报的数量,解决方案可以帮助收集信息,优先排序和合并重复警报。
科迪康奈尔大学首席战略官,Swinlane
在考虑SOAR在解决方案时,企业需要从两个角度思考:安全运行自动化需要解决哪些问题,需求是什么?未来如何使用自动化?
首先,你使用的工具是静态的还是动态的?当然,在大多数情况下,答案是后者。因此,您应该选择能够快速集成和扩展的解决方案——不仅能满足今天的需求,还能满足未来的需求。
其次,当你检查攻击者技术的变化时,你认为攻击者会拥抱自动化吗?事实上,攻击者不仅使用自动化进行扫描,还使用它DevOps建立每个攻击目标的唯一基础设施。
如果这种情况继续下去,你将需要一个无需人工干预的自动化平台来对案件和报警中的危害指标(IOC)跟踪和调查其他信息。
Splunk安全布道者Matthias Maier
选择SOAR平台时应考虑几个不同的标准,以及使用哪些标准:
(1) 核心能力
这些都可以认为是SOAR用户可以很容易地识别平台的基本组成部分和功能。一些重要组成部分,如编排器,负责指导和监督与给定安全计划相关的所有活动。编排器需要更大限度地利用可用资源,这一点非常重要。另一个是自动化引擎。由于自动化任务独立运行,且在很大程度上不需要人工干预,因此应考虑平台的可伸缩性和可伸缩性属性。还应考虑案例和计划管理。
(2) 平台属性
这属于定性标准。这些标准可以通过观察和与平台互动更频繁地评估。SOAR平台必须支持强大的社区模型,易于共享应用程序集成和剧本。SOAR如何在垂直和水平方向上扩展平台也很重要。随着时间的推移,平台将增加额外的处理负载。开放、友好、易于使用的平台也是一个关键因素。
(3) 商业考虑
包括公司提供的增值服务,如培训和支持,以增强其核心技术。无论公司的核心技术有多优秀,传统上都需要关注其他因素,这些因素被认为对买家的决策过程有重大影响。
SIRP首席执行官Faiz Ahmad Shuja
一项研究发现,安全专家平均每天收到840份安全警报。因为大多数警报大约需要15-30手动调查只能在几分钟内完成,所以对于任何安全团队来说,这几乎是一项不可能的任务。
尽可能多的工作负荷自动化将使安全团队跟上步伐,并确保重要威胁不会被忽视,SOAR平台是最有效的解决方案之一。
成功集成SOAR最重要的步骤是为所有的安全过程提供可靠的文。所有主要流程都需要完善的响应手册。例如,如果检测到潜在的在线钓鱼电子邮件,响应可能包括调查发件人的地址和检测欺诈的迹象URL探测信用评分和恶意脚本。一旦记录了所有这些过程,SOAR平台可以自动执行。
此外,组织需要确保他们选择SOAR平台集成能力强。这个平台将需要与他们现有的平台相匹配SIEM平稳配合解决方案,与其他安全解决方案和更广泛的解决方案合作IT连接基础架构。
Siemplify首席执行官Amos Stern
安全协调、自动化和响应可以解决安全团队长期面临的一些最令人沮丧的挑战。
正确的SOAR平台,加上良好的实施,可以帮助减少报警过载,结合组织使用的各种不同的检测工具,建立自动化和可重复的过程,减少响应时间,使安全分析师摆脱繁琐的手动工作。让他们专注于高价值的工作,比如寻找威胁,建立更灵活的安全基础设施。
SOAR解决方案的核心应该是获得报警(通过本机API)集成各种第三方检测工具,自动化工作流程。
但是,更好的SOAR可作为集中式工作台。Salesforce同样的思维也适用于SOC分析师。你应该找的SOAR解决方案应具有以下高级功能:
- 案例管理(特别是分组上下文相关警报的能力);
- 集成威胁情报;
- 合作(在新的远程办公环境中尤为重要);
- 仪表板和KPI(提供可见性和洞察力);
- 重大事件发生时,危机管理(升级)跨组织响应。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章