Rumah >Operasi dan penyelenggaraan >Keselamatan >Cara Mudah Melengkapkan Respons Orkestrasi Keselamatan Perusahaan SOAR
Panduan Pasaran Orkestrasi Keselamatan dan Penyelesaian Respons Automatik (SOAR) 2019 yang dikeluarkan oleh agensi perunding berwibawa Gartner menyatakan bahawa “menjelang 2022, lebih daripada 30% syarikat keselamatan dengan pasukan keselamatan lebih daripada 5 orang akan menggunakan SOAR Penyelesaian Respons Automatik”. Hari ini kami akan memperkenalkan cara perusahaan boleh menggunakan sistem NSFOCUS SOAR untuk menyelesaikan orkestrasi keselamatan dan tindak balas automatik dalam masa tiga minit.
Dalam operasi keselamatan tradisional dan penyelenggaraan perusahaan Dalam pengendalian insiden, proses berikut biasanya diikuti:
Jadual: Proses operasi dan penyelenggaraan keselamatan tradisional
Selepas 7 langkah di atas, proses pengendalian insiden keselamatan maklumat Itulah kesudahannya. Dalam proses ini, pelbagai jabatan dan peranan berbeza akan terlibat, proses pelupusan adalah rumit, kecekapan sukar untuk diukur, dan proses pelupusan untuk acara yang berbeza sukar untuk diseragamkan.
Pada masa yang sama, perusahaan sering menghadapi masalah kesakitan berikut dalam operasi dan penyelenggaraan keselamatan: terlalu banyak penggera acara dan penggera acara yang sah tenggelam, menjadikannya sukar untuk mengendalikan insiden keselamatan tepat pada masanya. Perusahaan sering kekurangan analisis keselamatan dan profesional pemprosesan Pengalaman analisis keselamatan sukar untuk diperkukuh, dan pakar keselamatan boleh dengan mudah terperangkap dalam kerja pemprosesan keselamatan yang berulang, menjadikannya sukar untuk menggunakan nilai sebenar mereka. Perkara yang paling penting ialah perusahaan dihadkan oleh proses dan kakitangan, dan tindak balas keselamatan tradisional mengambil masa terlalu lama.
Oleh itu, perusahaan telah menambah permintaan berikut dalam pembangunan dan evolusi operasi keselamatan:
Tingkatkan nisbah isyarat-ke-bunyi: tingkatkan penggera kesetiaan tinggi yang berkesan, supaya sumber pakar keselamatan terhad boleh memberi tumpuan kepada bahaya dan isu sebenar.
Kurangkan MTTR: Memantapkan proses pelupusan yang selamat, mengumpul pengalaman operasi secara berterusan, dan meneruskan operasi, supaya tindak balas dan masa pelupusan dikurangkan secara berterusan.
Gambar: Pintu masuk komponen NSFOCUS SOAR
platform operasi keselamatan pintar ISOP telah menyepadukan Fungsi tindak balas automatik orkestrasi keselamatan SOAR, anda boleh menggunakan orkestrasi keselamatan dan fungsi pemprosesan tindak balas automatik daripada Portal Orkestrasi Berkaitan Respons Keselamatan Pintar NSFOCUS ISOP dan Portal Orkestrasi Berkaitan Respons Penyelenggaraan untuk memulakan perjalanan tindak balas orkestrasi keselamatan automatik perusahaan.
Gambar: Orkestrasi keselamatan NSFOCUS SOAR dan penyelesaian tindak balas automatik
Komponen SOAR dalam ISOP menyepadukan secara mendalam orang, teknologi keselamatan dan proses melalui orkestrasi visual; ia mengukuhkan pengalaman operasi dan penyelenggaraan secara manual Skrip Playbook disambungkan secara bersiri dan selari untuk membina aliran kerja untuk pengendalian insiden keselamatan, secara automatik mencetuskan peranti keselamatan yang berbeza untuk melaksanakan tindakan tindak balas adalah berdasarkan pemahaman yang lebih komprehensif dan hujung ke hujung tentang konteks acara keselamatan, membantu perusahaan untuk menyepadukan proses dan tugasan tindak balas insiden yang kompleks kepada aliran kerja yang konsisten, boleh berulang, boleh diukur dan berkesan, dan mengubah tindak balas kecemasan pasif kepada tindak balas berterusan automatik.
Rajah: Pengurusan kes
Kes ialah fungsi paling asas dalam komponen SOAR, yang berjalan melalui keseluruhan kitaran hayat pengendalian insiden keselamatan, termasuk pemilihan dan pelaksanaan sumber log, peraturan keselamatan, forensik risikan dan skrip buku permainan pengendalian insiden yang diperlukan untuk analisis insiden keselamatan maklumat dan penghakiman. Selagi peristiwa keselamatan penggera dalam perusahaan boleh dipadankan dengan kes, pemprosesan tindak balas automatik boleh diselesaikan Kes mempunyai pemahaman yang lebih komprehensif dan hujung ke hujung tentang konteks peristiwa keselamatan, yang membantu menukar proses tindak balas insiden yang kompleks dan. tugasan kepada aliran kerja yang konsisten dan boleh diulang , boleh diukur dan berkesan.
Dalam operasi keselamatan perusahaan, peristiwa keselamatan biasa boleh dikaitkan dengan kes SOAR bagi kategori berbeza (seperti perlombongan, pencerobohan, penafian perkhidmatan, pemerasan, pancingan data, hotlinking, Kebocoran maklumat, dll. .) boleh memilih kaedah pelupusan yang serupa Fungsi pemprosesan proses kes boleh menetapkan skrip Playbook yang berbeza kepada kes yang berbeza sifatnya, dan menyelia pelaksanaan untuk melengkapkan tindak balas gelung tertutup automatik kepada insiden keselamatan perusahaan.
Rajah: Susunan kes visual 1
Rajah: Susunan kes visual 2
Komponen SOAR dalam ISOP mempunyai kes terbina dalam yang sepadan dengan beberapa serangan biasa Selain itu, perusahaan boleh dengan cepat membuat kes dan skrip buku permainan yang sepadan melalui susunan seret dan lepas visual penyelidikan dan penghakiman, dan peristiwa keselamatan Proses analisis menggunakan kaedah drag-and-drop visual untuk menyediakan konteks pengendalian keselamatan, mengelakkan keperluan untuk melompat antara halaman yang berbeza dalam operasi dan penyelenggaraan tradisional, dan mengurangkan kerumitan pengendalian insiden keselamatan. Setelah kes berjaya dibuat dan diaktifkan, peristiwa berikutnya yang melanda kes itu boleh dikendalikan secara automatik, mengurangkan kos komunikasi kolaboratif dan aliran proses antara jabatan yang berbeza.
Rajah: Penjejakan Proses Pelupusan Kes
Kes boleh membantu perusahaan menjalankan analisis penyiasatan berasaskan proses dan berterusan serta rekod pengesanan pengendalian tindak balas untuk satu set peristiwa yang berkaitan semasa proses pelaksanaan kes , status pelaksanaan setiap proses perantaraan peristiwa keselamatan (berjaya, melaksanakan, gagal) boleh dipaparkan dalam proses orkestrasi visual, dengan itu merealisasikan visualisasi proses operasi dan penyelenggaraan hujung ke hujung.
Gambar: Status berjalan Playbook
Skrip Playbook adalah bersamaan dengan aliran kerja jurutera keselamatan . Pemprosesan keselamatan gelung tertutup automatik bagi peristiwa padanan kes Modul ISOP SOAR mungkin melibatkan pelaksanaan serentak bagi skrip yang berbeza boleh ditinjau secara global melalui antara muka (pelaksanaan, pelaksanaan yang berjaya, kegagalan).
Pengalaman proses pengendalian insiden keselamatan dalam perusahaan boleh diperkukuh ke dalam skrip Playbook dan digunakan pada pengendalian tindak balas automatik. Tindakan pengendalian boleh termasuk penyekatan peralatan, penghantaran pesanan kerja, pemberitahuan e-mel, dll., supaya pakar keselamatan boleh bermula dari Dikeluarkan daripada operasi dan penyelenggaraan keselamatan yang membosankan dan berulang.
Respons larangan "perbatuan terakhir" automatik dilaksanakan oleh peranti keselamatan NSFOCUS ISOP modul penyekatan satu klik mempunyai pengalaman terkumpul pada awalnya peringkat Sebilangan besar peranti pemprosesan tindak balas, seperti tembok api, ADS, UTS, IDS, WAF, dsb., tindakan tindak balas termasuk: menyekat sesi, larangan IP, senarai hitam nama domain, pembersihan trafik trafik, dll. Peranti ini boleh secara langsung dilalui tanpa pembangunan sekunder Modul SOAR adalah plug-and-play. Anda hanya perlu membangunkan pemalam berdasarkan antara muka pengurusan dan kawalan arah utara yang disediakan oleh peranti pihak ketiga untuk melengkapkan tindak balas orkestrasi pautan automatik peranti pihak ketiga.
Peranti keselamatan yang disambungkan ke sistem SOAR boleh melengkapkan pemprosesan tindak balas automatik melalui panggilan skrip Playbook, tanpa memerlukan kakitangan operasi dan penyelenggaraan keselamatan untuk log masuk ke peranti keselamatan bebas untuk mengkonfigurasi dasar penyekatan.
Gambar: Paparan skrin besar operasi dan penyelenggaraan automatik
Operasi automatik skrin besar dan penyelenggaraan boleh membentangkan respons automasi perusahaan daripada perspektif global Gambaran keseluruhan pelupusan, seperti kecekapan operasi tindak balas automatik, maklumat statistik insiden kes, trend pelupusan insiden kes, maklumat pelaksanaan skrip, dll., memaparkan penunjuk operasi dan penyelenggaraan dalam cara yang boleh diukur dan boleh diukur.
Untuk peristiwa kes yang diketahui, melalui mekanisme pencetus pemadanan kes. , Perusahaan boleh melengkapkan orkestrasi keselamatan dan proses tindak balas gelung tertutup automatik dalam masa tiga minit.
Jadual: Perbandingan ketepatan masa operasi dan penyelenggaraan tradisional serta masa tindak balas operasi dan penyelenggaraan automatik
Satukan pengalaman pakar keselamatan ke dalam Playbooks untuk mengautomasikan keseluruhan proses analisis, pertimbangan dan pelupusan serangan yang diketahui, supaya pakar keselamatan boleh menumpukan tenaga mereka kepada konfrontasi merah-biru, memburu ancaman, pemodelan ancaman, analisis APT , dan kelemahan Senario perlombongan dan kerja lain yang memerlukan kemahiran keselamatan lanjutan mencipta nilai yang lebih tinggi untuk operasi keselamatan perusahaan dan kerja penyelenggaraan.
Intipati sistem SOAR ialah pemilihan strategi penyelidikan dan strategi pelupusan yang sepadan dengan senario ancaman yang berbeza, yang itulah sebabnya Playbook memainkan peranan penting dalam perusahaan Nilai teras dalam persaingan antara serangan dan pertahanan dicerminkan Penyeragaman proses operasi dan penyelenggaraan adalah prasyarat untuk pemantapan skrip Playbook boleh digunakan sebagai titik permulaan untuk menyeragamkan proses pemprosesan yang kompleks dan tidak teratur serta menyatukan penyeragaman proses operasi keselamatan maklumat perusahaan.
Atas ialah kandungan terperinci Cara Mudah Melengkapkan Respons Orkestrasi Keselamatan Perusahaan SOAR. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!