SOAR的安全运营之道
|
击的责任在于内部安全运营团队。毫无疑问,攻击者正在不断改进和升级他们的工具和技术。此外,通过绕过传统的安全控制,他们可以很容易地渗透到业务网络中。从业务的角度来看,这种情况会进一步恶化,因为许多员工没有遵守基本的安全实践,最终成为社会工程攻击的受害者。人是网络安全生态系统中最薄弱的一环,人的失误往往会导致企业实施安全控制的效率出现问题。 随着攻击的复杂性不断增加,内部安全运营团队的工作不会变得更容易。要成功地缓解安全事件,首先需要检测它。目前检测事件的平均时间已经减少了,但对于APT的分析过程仍然是相当长的时间。根据调研发现,金融公司平均需要几十天来检测一个事件,而一般消费类公司可能需要大约上百天。一旦发现,成功的对威胁进行消除和恢复同样是具有挑战性的方面。随着越来越多的监管/法律要求,合规的负担也成为焦点。 为了解决这些问题,企业构建大量的安全分析类工具。但目前的现状是在一天的大部分工作时间里,内部运营团队的时间都浪费在了处理误报上。 为了有效地监视组织的安全性,工具和技术是一个方面。拥有适当的文档化的策略和过程,以及以最大的优化和效率执行它们的能力是必要的。同样,一些企业已经编制了文档,而许多企业只编制了某些策略,它们继续依赖于临时应急响应计划。 当企业寻找能够从现有工具收集数据并将其显示在一个集中的仪表板中,同时对生成的告警采取自动化操作的解决方案时,SOAR就会出现。 Gartner作为安全理论及实践方面的权威,对SOAR进行了全面的定义。它将SOAR定义为:使组织能够收集来自不同来源的安全威胁数据和警报的技术,在这些技术中,可以利用人工和机器的组合力量来执行事件分析和分类,从而帮助定义、确定优先级,并根据标准工作流驱动标准化的事件响应活动。SOAR工具允许组织以数字工作流格式定义事件分析和响应过程,这样一系列的机器驱动的活动就可以实现自动化。
2. SOAR-安全编排响应自动化 (编辑:保山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
