Account 登录
Jump to section

SOAR 是什么?

复制 URL

安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR 一词来自分析机构 Gartner。有些安全分析师也用其他术语来描述 SOAR:IDC 将这一概念称为"安全分析、情报、响应和编排"(AIRO),而 Forrester 则使用"安全自动化和编排"(SAO)一词来描述同一功能。

SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台会监控威胁情报源并触发针对安全问题的自动响应,这样可以帮助 IT 团队快速有效地缓解众多复杂系统中的威胁。

无论您是拥有成熟的 SOC,还是刚开始进行企业安全转型,参考业内的漏洞管理最佳实践,每个安全事件都应作为案例进行记录和管理。案例管理实践是指记录事件并形成与威胁有关的认知的方法。这样可以确保识别出安全威胁、根据风险确定优先级并展开调查。同时,它也可以有助于把收集到的情报与所记录的事件相对应,并在企业和社区内分享。 

SOAR 技术通常带有针对常见用例的预配置工作流。如果这些默认用例无法满足企业的特定需求,则可以根据自己的具体要求进行自定义开发。

安全自动化是指无需人为干预即可执行安全运维任务的过程。就安全性而言,由于复杂的基础架构以及其各部分之间可能缺少集成,因此就更需要自动化。但是,我们怎么知道哪些任务要自动化呢?不妨思考一下这几个问题:

  1. 是否属于日常任务?是否需要定期执行?
  2. 任务是否异常乏味?是否涉及需要准确完成的一系列特定操作? 
  3. 任务是否耗时?这一系列操作会不会占用您团队的大量时间?

只要其中有一个问题的答案为"是",就表示自动化能够派上用场。自动化可以为您的企业带来很多积极影响,包括:减少人为错误、提高效率和速度,以及提高安全事故响应的一致性。

任务自动化的一大主要好处在于:它可以提高安全团队的效率,以腾出时间来专注其他工作。鉴于当前没有足够的安全专业人才来满足每个企业的需求,自动化可以帮助安全团队做更多的事情,并且速度更快,从而弥合这种人才差距。

安全团队必须应对大量不同的工具和产品,例如端点检测和响应(EDR)软件、防火墙以及安全信息和事件管理(SIEM)解决方案,而它们之间可能还没有相互集成。如果所有这些都要进行手动管理,可能会导致问题检测和修复减慢、资源配置错误和策略应用不一致,从而使系统易受攻击,并面临合规性问题。自动化可以帮助简化日常运维,并从一开始就将安全防护集成到流程、应用和基础架构中,就像 DevSecOps 方法那样。

据 Ponemon Institute 研究,在 200 天或更短的时间内发现并遏制安全漏洞,可把因泄露而造成的平均损失减少 122 万美元。快速威胁检测可以降低安全漏洞的可能性并减少相关成本,但手动跨多个平台和工具进行修复会非常复杂、耗时且容易出错。

手动流程可能会延缓复杂 IT 环境中的威胁识别,而自动化安全流程可以帮助您更快地识别、验证和上报威胁,且无需人工干预。安全团队也可以利用自动化来缩短响应时间、并行地修复整个环境中受影响的系统。

编排关注的是流程,而自动化关注的是任务。安全编排是指一种连接和集成不同的安全工具和系统以简化响应工作流程的方式。通过连接工具和系统以及控制它们的流程,您可以在整个环境中实现自动化。

自动化可以简化工作流程,但作为 SOAR 最具价值的方面之一,高级别安全编排却需要的参与。编排允许 IT 团队定义执行自动化任务的过程。安全流程的编排要靠这些团队中的人员来确定安全自动化的内容、原因和时间。

威胁情报是指对企业资产当前和新出现的威胁的认知。许多漏洞数据库都是威胁情报的信息来源。一些参考方法(例如 CVE 列表)可以让我们更方便地在数据库与平台之间识别和共享这些漏洞。威胁情报平台会从各种信息流(Feed)中收集此类信息。SOAR 工具会利用多个威胁情报信息流来识别潜在威胁。它会将这些信息流聚合到一个统一的源中,供安全团队查询和用于触发自动化任务。

从企业的角度讲,SOC 是安全响应的核心,但它仍然难以与企业内的其他许多部门很好地协调和沟通。而自动化就可以充当部门之间的纽带和通用语言。应对安全威胁时,跨各个部门所有平台的自动化解决方案可以建立明确的互动渠道,从而更容易识别最紧迫的安全威胁并对其进行分类。

企业开源软件的开发模式非常有利于测试和性能调优,往往都有专门的安全团队提供支持、有响应新安全漏洞的流程,以及将相关安全问题和修正步骤告知用户的协议。它是开源信任网络的增强版本,可确保您在 IT 安全方面永远不会孤身奋战。

借助红帽® Ansible® 自动化平台,您可以利用一套精选的模块、角色和 playbook,以统一协调的方式自动化和集成不同的安全解决方案,从而简化对企业内威胁的调查与响应。此外,您还可以使用 API、SSH、WinRM 及其他标准或现有的访问方法来集成外部应用。

Ansible 自动化平台支持从基础架构到应用的全堆栈流程,所有内容都可以通过一个层级的安全技术进行协调。安全运维团队则可以使用 Ansible 自动化平台来管理其他企业应用,例如 SOAR 解决方案。

继续阅读

文章

什么是 DevSecOps?

如果您想要充分发挥出 DevOps 的敏捷性和响应力,则必须在应用的整个生命周期内兼顾 IT 安全性。

文章

云安全有何不同之处

一些重大安全问题同时影响着传统 IT 和云系统。了解它们的不同之处。

文章

什么是 SOAR?

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。

详细了解安全防护

Illustration - mail

获取更多类似的内容

免费订阅我们的 Red Hat Shares 通讯邮件

Red Hat logo LinkedInYouTubeFacebookTwitter

产品

工具

试用、购买或出售

沟通

关于红帽

我们是世界领先的企业开源解决方案供应商,提供包括 Linux、云、容器和 Kubernetes。我们致力于提供经过安全强化的解决方案,从核心数据中心到网络边缘,让企业能够更轻松地跨平台和环境运营。

订阅我们的新闻稿 Red Hat Shares

立即注册

选择语言

© 2022 Red Hat, Inc. 京ICP备09066747号 Red Hat Summit