当前位置: 首页>>新闻资讯 >> 新闻动态 >>
news
新闻资讯
APT防护十年:亚信终于把SOAR这件事讲清楚了
2018-12-13 16:12:06 上传人:
近日,亚信安全在京召开高级威胁治理十周年暨XDR战略发布会,到场的安全专家从高级威胁治理,讲到安全运营、自动化编排与响应,再到一切皆响应的XDR战略。

 

 

趋势科技(趋势科技中国为亚信安全的前身),早在十多年前就开始涉足高级威胁防护的领域。从最早的威胁发现设备(TDA,2005年发布),到深度威胁发现产品平台(Deep Discovery,2007年) 的正式推出,再到2011年的SOC,2015年的APT治理战略2.0,走到了今天的一切皆检测与响应的XDR战略。

 

 

一、安全运营的四个阶段

 

SOC(安全运营中心)的概念和应用已经过有了很多年,但业内人熟知,SOC在中国的应用非常不成功,被人诟病。直到威胁情报、大数据、机器学习技术的引进,借助态势感知的大潮,新一代SOC,或称iSOC(智能SOC)开始兴起。亚信安全认为,安全运营可分为由成熟度由高到低的四个阶段,阻断、发现、响应和预测:

 

  • 早期阶段:即基于策略、规则的防护技术,阻断已知威胁;

  • 进阶阶段:基于行为分析、大数据、机器学习,发现未知的威胁;

  • 高级阶段:系统可弹性恢复及安全自动化响应;

  • 智能阶段:主动预防和自我风险评估。

 

早期阻断阶段最为成熟,90%的用户都能达到,但到了高级响应阶段,只有极少用户能够达到。绝大部分用户处于从发现到响应的过渡阶段,面临的典型问题,如被大量的报警淹没,远超安全运营人员的处理能力。说到这里,SOAR该登场了。

 

二、SOAR来了

 

安全编排、自动化及响应(SOAR),旨在快速检测威胁、减少安全人工分析投入、做到快速响应,以提高安全运营的效率。从中可以看出,检测与响应是SOAR的核心,目标直指SOC的最被诟病的问题。

 

亚信安全认为,从发现到响应的能力构成可分为四步:

 

1)告警受理:对警报进行分类以及划分优先级,可用预处理脚本来自动化执行;

 

2)定性分析:判断威胁的真实性,确认威胁的本质及攻击者意图,主要基于威胁情报和沙箱技术;

 

3)定量分析:调查取证,回溯攻击场景,评估威胁的严重性、影响和范围。可基于端点检测与响应,网络流量分析,以及远程检测与响应(MDR);

 

4)响应:根据响应脚本,执行响应策略。可做到产品联动,自动化执行响应脚本。

 

在Gartner的报告里,SOAR平台的核心组件为,编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠:

 

1)精密编排的联动安全解决方案(SOA);

2)事件应急响应平台(IR);

3)威胁情报平台(TI)。

 

 

在这个体系里,包括了APT防范、云安全、态势感知、身份管理、终端安全、威胁情报、取证溯源等产品技术,而这些技术正是亚信安全的优势所在,全面覆盖了SOAR体系。

 

 

 

三、一切皆响应:XDR战略

 

近几年检测与响应(DR)的大趋势,已是不争的事实。不管是端点安全、网络安全,还是远程运营,都加上了个DR。EDR,NDR,MDR,SOAR……但在实际应用中,检测还是占据主要地位。因此,亚信安全本次的发布会旨在呼吁业界重视响应能力的建设。非常有价值的是,亚信安全通过一些真实的应用案例,将整个安全运营过程总结为七个层级,值得业内人士的借鉴与参考。

成都市一环路南一段22号KEN嘉谊大厦616
028-85073711, 13882047169
028-85073711
[email protected] com