Jump to section

SOAR 是什么?

Published 2022年 5月 11日
复制 URL

概述

安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR 一词来自分析机构 Gartner。有些安全分析师也用其他术语来描述 SOAR:IDC 将这一概念称为"安全分析、情报、响应和编排"(AIRO),而 Forrester 则使用"安全自动化和编排"(SAO)一词来描述同一功能。

SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台会监控威胁情报源并触发针对安全问题的自动响应,这样可以帮助 IT 团队快速有效地缓解众多复杂系统中的威胁。

免费观看安全自动化网络研讨会

SOAR 案例和工作流管理

无论您是拥有成熟的 SOC,还是刚开始进行企业安全转型,参考业内的漏洞管理最佳实践,每个安全事件都应作为案例进行记录和管理。案例管理实践是指记录事件并形成与威胁有关的认知的方法。这样可以确保识别出安全威胁、根据风险确定优先级并展开调查。同时,它也可以有助于把收集到的情报与所记录的事件相对应,并在企业和社区内分享。 

SOAR 技术通常带有针对常见用例的预配置工作流。如果这些默认用例无法满足企业的特定需求,则可以根据自己的具体要求进行自定义开发。

了解有关 SOAR 的更多信息Icon-Red_Hat-Directional-A-Black-RGB

任务自动化和编排

安全自动化是指无需人为干预即可执行安全运维任务的过程。就安全性而言,由于复杂的基础架构以及其各部分之间可能缺少集成,因此就更需要自动化。但是,我们怎么知道哪些任务要自动化呢?不妨思考一下这几个问题:

  1. 是否属于日常任务?是否需要定期执行?
  2. 任务是否异常乏味?是否涉及需要准确完成的一系列特定操作? 
  3. 任务是否耗时?这一系列操作会不会占用您团队的大量时间?

只要其中有一个问题的答案为"是",就表示自动化能够派上用场。自动化可以为您的企业带来很多积极影响,包括:减少人为错误、提高效率和速度,以及提高安全事故响应的一致性。

实现业务自动化的 5 个步骤
进一步了解安全自动化Icon-Red_Hat-Directional-A-Black-RGB

为什么要自动化安全流程?

任务自动化的一大主要好处在于:它可以提高安全团队的效率,以腾出时间来专注其他工作。鉴于当前没有足够的安全专业人才来满足每个企业的需求,自动化可以帮助安全团队做更多的事情,并且速度更快,从而弥合这种人才差距。

安全团队必须应对大量不同的工具和产品,例如端点检测和响应(EDR)软件、防火墙以及安全信息和事件管理(SIEM)解决方案,而它们之间可能还没有相互集成。如果所有这些都要进行手动管理,可能会导致问题检测和修复减慢、资源配置错误和策略应用不一致,从而使系统易受攻击,并面临合规性问题。自动化可以帮助简化日常运维,并从一开始就将安全防护集成到流程、应用和基础架构中,就像 DevSecOps 方法那样。

据 Ponemon Institute 研究,在 200 天或更短的时间内发现并遏制安全漏洞,可把因泄露而造成的平均损失减少 122 万美元。快速威胁检测可以降低安全漏洞的可能性并减少相关成本,但手动跨多个平台和工具进行修复会非常复杂、耗时且容易出错。

手动流程可能会延缓复杂 IT 环境中的威胁识别,而自动化安全流程可以帮助您更快地识别、验证和上报威胁,且无需人工干预。安全团队也可以利用自动化来缩短响应时间、并行地修复整个环境中受影响的系统。

借助开源推动 IT 现代化的 5 大方法
了解为什么选择红帽实现自动化Icon-Red_Hat-Directional-A-Black-RGB

自动化与编排的区别是什么?

编排关注的是流程,而自动化关注的是任务。安全编排是指一种连接和集成不同的安全工具和系统以简化响应工作流程的方式。通过连接工具和系统以及控制它们的流程,您可以在整个环境中实现自动化。

自动化可以简化工作流程,但作为 SOAR 最具价值的方面之一,高级别安全编排却需要的参与。编排允许 IT 团队定义执行自动化任务的过程。安全流程的编排要靠这些团队中的人员来确定安全自动化的内容、原因和时间。

进一步了解编排Icon-Red_Hat-Directional-A-Black-RGB

集中威胁情报

威胁情报是指对企业资产当前和新出现的威胁的认知。许多漏洞数据库都是威胁情报的信息来源。一些参考方法(例如 CVE 列表)可以让我们更方便地在数据库与平台之间识别和共享这些漏洞。威胁情报平台会从各种信息流(Feed)中收集此类信息。SOAR 工具会利用多个威胁情报信息流来识别潜在威胁。它会将这些信息流聚合到一个统一的源中,供安全团队查询和用于触发自动化任务。

从企业的角度讲,SOC 是安全响应的核心,但它仍然难以与企业内的其他许多部门很好地协调和沟通。而自动化就可以充当部门之间的纽带和通用语言。应对安全威胁时,跨各个部门所有平台的自动化解决方案可以建立明确的互动渠道,从而更容易识别最紧迫的安全威胁并对其进行分类。

进一步了解如何用 Ansible 实现安全自动化Icon-Red_Hat-Directional-A-Black-RGB

红帽能为您做些什么?

企业开源软件的开发模式非常有利于测试和性能调优,往往都有专门的安全团队提供支持、有响应新安全漏洞的流程,以及将相关安全问题和修正步骤告知用户的协议。它是开源信任网络的增强版本,可确保您在 IT 安全方面永远不会孤身奋战。

借助红帽® Ansible® 自动化平台,您可以利用一套精选的模块、角色和 playbook,以统一协调的方式自动化和集成不同的安全解决方案,从而简化对企业内威胁的调查与响应。此外,您还可以使用 API、SSH、WinRM 及其他标准或现有的访问方法来集成外部应用。

Ansible 自动化平台支持从基础架构到应用的全堆栈流程,所有内容都可以通过一个层级的安全技术进行协调。安全运维团队则可以使用 Ansible 自动化平台来管理其他企业应用,例如 SOAR 解决方案。

进一步了解红帽 Ansible 的安全自动化用例Icon-Red_Hat-Directional-A-Black-RGB红帽的混合云安全防护心法

继续阅读

文章

什么是 DevSecOps?

如果您想要充分发挥出 DevOps 的敏捷性和响应力,则必须在应用的整个生命周期内兼顾 IT 安全性。

文章

云安全有何不同之处

一些重大安全问题同时影响着传统 IT 和云系统。了解它们的不同之处。

文章

什么是 SOAR?

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。

详细了解安全防护

产品

Red Hat Certificate System

管理用户身份并帮助保持通信隐私的安全框架。

Red Hat Advanced Cluster Security Kubernetes

企业就绪型 Kubernetes 原生容器安全防护解决方案,让您能够更安全地构建、部署和运行云原生应用。

Red Hat Insights

一项预测性分析服务,可帮助您识别并修复红帽基础架构在安全性、性能和可用性方面存在的威胁。

Red Hat Advanced Cluster Management Kubernetes

一个具有内置安全策略、用于控制 Kubernetes 集群和应用的控制台。

相关文章

相关资源

电子书

简化您的安全防护运维中心

继续探索

白皮书

容器和 Kubernetes 安全防护分层方法

分析文章

企业通过托管云端服务提高敏捷性

产品规格说明

红帽智能分析:红帽企业 Linux 预测分析

检查清单

IT 现代化中安全与合规的首要考虑因素

产品规格表

适用于 Kubernetes 的红帽高级集群安全防护

电子书

践行 DevSecOps,实现应用生命周期的现代化和安全保障
Illustration - mail

获取更多类似的内容

免费订阅我们的 Red Hat Shares 通讯邮件

继续了解