登录 / 注册 Account

安全

什么是 SOAR?

安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR 一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR:IDC 将这一概念称为"安全分析、情报、响应和编排"(AIRO)。Forrester 则使用"安全自动化和编排"(SAO)一词来描述同一功能。 

SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。

SOAR 中的案例和工作流管理

无论您是拥有成熟的 SOC,还是刚开始进行企业安全转型,参考业内的最佳实践,每个安全事件都应作为案例进行记录和管理。案例管理实践是指记录事件并形成与威胁有关的认知的方法。这样可以确保识别出安全威胁、根据风险确定优先级并展开调查。同时,它也可以有助于把收集到的情报与所记录的事件相对应,并在企业和社区内分享。 

SOAR 技术通常带有针对常见用例的预配置工作流。如果这些默认用例无法满足企业的特定需求,则可以根据自己的具体要求进行自定义开发。

任务自动化和编排

安全自动化是指无需人为干预即可执行安全运维任务的过程。就安全性而言,由于复杂的基础架构以及其各部分之间可能缺少集成,因此就更需要自动化。但是,我们怎么知道哪些任务要自动化呢?不妨思考一下这几个问题:

  1. 是否属于日常任务?是否需要定期执行?
  2. 任务是否异常乏味?是否涉及需要准确完成的一系列特定操作? 
  3. 任务是否耗时?这一系列操作会不会占用您团队的大量时间?

只要其中有一个问题的答案为"是",就表示自动化能够派上用场。自动化可以为您的企业带来很多积极影响,包括:减少人为错误、提高效率和速度,以及提高响应的一致性。

为什么要自动化安全流程?

任务自动化的一大主要好处在于:它可以提高安全团队的效率,使他们腾出时间来专注其他工作。自动化可以帮助企业解决行业中的人才缺口。说得明白一点,当前没有足够的安全专业人才来满足每个企业的需求。实现安全任务的自动化可以帮助 IT 安全团队做更多的事,并且速度更快。

安全团队的工作中不得不面对大量不同的工具和产品,而它们之间可能并不会相互集成。如果所有这些都要进行手动管理,可能会导致问题检测和修复减慢、资源配置错误和策略应用不一致,从而使您的系统易受攻击,并面临合规性问题。自动化可以帮助您简化日常运维,并从一开始就将安全防护集成到流程、应用和基础架构中,就像 DevSecOps 方法那样。通过全面部署安全自动化,甚至可以让因泄露而造成的平均损失降低 95%

快速威胁检测可以降低企业遇到安全漏洞的可能性,以及在发生数据泄漏时所付出的相关成本。在 200 天或更短的时间内发现并遏制安全漏洞,可把因泄露而造成的平均损失减少 122 万美元。在复杂的 IT 环境中,手动流程可能会延误威胁识别,从而使您的容易陷入危机。而在安全流程中应用自动化,可以帮助您更快地识别、验证和上报威胁,而无需人工干预。

此外,手动跨多个平台和工具修复漏洞会非常复杂、耗时且容易出错。安全团队也可以利用自动化来快速、并行地修复整个环境中受影响的系统,并更快地对事件做出响应。

自动化与编排之间有何区别?

安全编排是指一种连接和集成不同的安全工具和系统以简化流程的方式。通过连接工具和系统,您可以在整个环境中实现自动化。编排关注的是流程,而自动化关注的是任务。人员因素是编排与自动化之间的主要区别。高级别安全编排体现了 SOAR 最重要的价值。编排允许团队定义执行自动化任务的过程。安全流程的编排要靠这些团队中的人员来确定安全自动化的内容、原因和时间。

集中式威胁情报

威胁情报是指对企业资产当前和新出现的威胁的认知。许多漏洞数据库都是威胁情报的信息来源。一些参考方法(例如 CVE 列表)可以让我们更方便地在数据库与平台之间识别和共享这些漏洞。威胁情报平台会从各种信息流(Feed)中收集此类信息。SOAR 工具会利用多个威胁情报信息流来识别潜在威胁。它会将这些信息流聚合到一个统一的源中,供安全团队查询和用于触发自动化任务。

从企业的角度讲,SOC 是安全响应的核心,但它仍然难以与企业内的其他许多部门很好地协调和沟通。而自动化就可以充当部门之间的纽带和通用语言。应对安全威胁时,跨各个部门所有平台的自动化解决方案可以建立明确的互动渠道。

红帽能为您做些什么?

企业开源软件的开发模式非常有利于测试和性能调优,往往都有专门的安全团队提供支持、有响应新安全漏洞的流程,以及将相关安全问题和修正步骤告知用户的协议。它是开源信任网络的增强版本,可确保您在 IT 安全方面永远不会孤身奋战。

借助红帽® Ansible® 自动化平台,您可以利用一套精选的模块、角色和 playbook,以统一协调的方式自动化和集成不同的安全解决方案,从而简化对企业内威胁的调查与响应。此外,您还可以使用 API、SSH、WinRM 及其他标准或现有的访问方法来集成外部应用。

红帽 Ansible 支持从基础架构到应用的全堆栈流程,所有内容都可以通过一个层级的安全技术进行协调。安全团队则可以使用红帽 Ansible 来管理其他企业应用,例如 SOAR 解决方案。

我们的工具,让您如虎添翼

Red Hat Ansible Automation

无代理的自动化平台。

Red Hat Insights

识别并修复红帽® 企业 Linux® 环境中存在的安全性、合规性和配置风险。

智御数字时代,护航安全未来