APT防护十年:终于有人把SOAR这件事讲清楚了
作者:星期五, 十二月 7, 20180

本周二,亚信安全在京召开高级威胁治理十周年暨XDR战略发布会,到场的安全专家从高级威胁治理,讲到安全运营、自动化编排与响应,再到一切皆响应的XDR战略。

趋势科技(趋势科技中国为亚信安全的前身),早在十多年前就开始涉足高级威胁防护的领域。从最早的威胁发现设备(TDA,2005年发布),到深度威胁发现产品平台(Deep Discovery,2007年) 的正式推出,再到2011年的SOC,2015年的APT治理战略2.0,走到了今天的一切皆检测与响应的XDR战略。

一、安全运营的四个阶段

SOC(安全运营中心)的概念和应用已经过有了很多年,但业内人熟知,SOC在中国的应用非常不成功,被人诟病。直到威胁情报、大数据、机器学习技术的引进,借助态势感知的大潮,新一代SOC,或称iSOC(智能SOC)开始兴起。亚信安全认为,安全运营可分为由成熟度由高到低的四个阶段,阻断、发现、响应和预测:

  • 早期阶段:即基于策略、规则的防护技术,阻断已知威胁;
  • 进阶阶段:基于行为分析、大数据、机器学习,发现未知的威胁;
  • 高级阶段:系统可弹性恢复及安全自动化响应;
  • 智能阶段:主动预防和自我风险评估。

早期阻断阶段最为成熟,90%的用户都能达到,但到了高级响应阶段,只有极少用户能够达到。绝大部分用户处于从发现到响应的过渡阶段,面临的典型问题,如被大量的报警淹没,远超安全运营人员的处理能力。说到这里,SOAR该登场了。

二、SOAR来了

安全编排、自动化及响应(SOAR),旨在快速检测威胁、减少安全人工分析投入、做到快速响应,以提高安全运营的效率。从中可以看出,检测与响应是SOAR的核心,目标直指SOC的最被诟病的问题。

亚信安全认为,从发现到响应的能力构成可分为四步:

1)告警受理:对警报进行分类以及划分优先级,可用预处理脚本来自动化执行;

2)定性分析:判断威胁的真实性,确认威胁的本质及攻击者意图,主要基于威胁情报和沙箱技术;

3)定量分析:调查取证,回溯攻击场景,评估威胁的严重性、影响和范围。可基于端点检测与响应,网络流量分析,以及远程检测与响应(MDR);

4)响应:根据响应脚本,执行响应策略。可做到产品联动,自动化执行响应脚本。

在Gartner的报告里,SOAR平台的核心组件为,编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠:

1)精密编排的联动安全解决方案(SOA);

2)事件应急响应平台(IR);

3)威胁情报平台(TI)。

在这个体系里,包括了APT防范、云安全、态势感知、身份管理、终端安全、威胁情报、取证溯源等产品技术,而这些技术正是亚信安全的优势所在,全面覆盖了SOAR体系。

亚信安全 SOAR 产品方案(完整版)

三、一切皆响应:XDR战略

近几年检测与响应(DR)的大趋势,已是不争的事实。不管是端点安全、网络安全,还是远程运营,都加上了个DR。EDR,NDR,MDR,SOAR……但在实际应用中,检测还是占据主要地位。因此,亚信安全本次的发布会旨在呼吁业界重视响应能力的建设。非常有价值的是,亚信安全通过一些真实的应用案例,将整个安全运营过程总结为七个层级,值得业内人士的借鉴与参考。

准备 –> 发现 –> 分析 –> 遏制–> 消除 –> 恢复 –> 优化

现在,已经到了大力发展响应技术的时候了。

——亚信安全通用安全产品总经理童宁

安全牛评

高级威胁防御从早期的漏洞扫描、威胁发现、安全运营,来到了强调调查取证、攻击溯源、威胁捕捉等响应技术的今天,需要终端、网络与情报,或说云管端三者的能力交叠。亚信安全恰恰在这三个方面均有着不小的技术优势和丰富的经验积累,这也是为什么亚信安全成为国内首个发布XDR战略的安全厂商。

相关阅读

这家公司APT实时检测准确率高达98.8%

不管是APT还是数据渗漏 这些疑难杂症究竟该如何解决?

 

关键词:

相关文章

写一条评论

 

 

0条评论