近日,Gartner发布了2023年Market Guide for Security Orchestration,Automation and Response Solutions报告(《安全编排自动化与响应(SOAR)市场指南》),绿盟科技再度入围,连续两年被列为代表供应商。
Gartner 将SOAR定义为“安全编排、自动化和响应(SOAR)解决方案在单个平台中结合了事件响应、编排和自动化以及威胁情报(TI)管理功能。SOAR工具还用于记录和实现流程(又名剧本、工作流和流程);支持安全事件管理;并将基于机器的辅助应用于人类安全分析师和操作员。”同时,Gartner在市场指南中提到,“SOAR解决方案主要用于以下维度:提高安全运营效率;在安全流程中创造更多的一致性;改进威胁预防、检测和响应;提高优先级;让威胁情报有效运转。”
我们认为在选择SOAR解决方案时需要考虑的建议要求:支持跨多个现有点解决方案市场的广泛安全产品(例如端点保护平台、防火墙、入侵检测和防御系统[IDPSs]、安全信息和事件管理(SIEM)、安全电子邮件网关、SSE和漏洞评估技术);支持进行事件关联和聚合的能力,以更好地充实事件,以改进安全操作流程和报警。实现这一点的一个关键方法是通过实施低代码“剧本”,它允许对流程进行编码,可以应用自动化来提高一致性和节省时间,能够部署在本地或作为云解决方案(如SaaS);支持从第三方来源摄取各种各样的来源和格式的TI;支持开源、行业和政府(信息共享和分析中心[ISACs]和计算机应急响应小组[CERTs])和商业提供商。与IT运营解决方案进行双向集成, 如用于案例管理的票务系统和协作工具,如用于更好的实时通信的消息应用程序。
绿盟科技智能安全运营管理平台
NSFOCUS ISOP
NSFOCUS ISOP的SOAR能力区别于其他产品的关键能力是系统架构开放化和部署灵活化、安全能力编排生态化、安全流程高度定制化、安全分析响应智能化、案例知识实战化。最为关键的是AISecOps创新技术能力已在多个行业客户处进行了深度实践使用。通过AI辅助的智能化研判覆盖率高达96.7%,大幅提升了运营效率;通过AI技术的运用,实现了海量告警的降噪和自动化研判分析;通过智能分诊推荐能力,实现场景和模型的升级,与SOAR组合为客户提供更智能的交互运营手段。以事件响应为必备应用场景,利用XDR技术和绿盟丰富的威胁情报数据,助力安全运营人员高效开展各项安全运营工作,提升安全运营的实战化水平。
图1 SOAR可视化编排案例示例
此外,我们也注意到随着自动化和智能技术的发展,网络安全防守方未来将面临更加严峻的挑战。因此,我们也在不断探索更多自动化、智能化、实战化的安全应用场景,目前ISOP已完成近百个国内外主流安全产品能力对接,积累了上百种典型的安全剧本场景,覆盖安全事件响应闭环、安全分析取证调查、安全评估检查等实际业务使用场景。通过了上千个客户生产或测试环境检验,能够灵活兼容各类云化部署环境和独立部署应用环境。
图2 安全应用商城示例
未来,大语言模型技术也将会对SOAR的自动化效率提升和工具开放化提供更多便利。NSFOCUS ISOP在数据处理、风险分析、运营效率和知识提供等应用场景进行了大语言模型技术创新研究和实践场景的思考。通过大语言模型技术的使用对于数据接入和处理过程中的自动特征识别,定义,归类将更便捷。同时也可完成多源数据(漏洞、资产、威胁、应用、系统等)的聚合分析应用,识别传统检测规则识别不到的未知风险。借助大语言模型也可以为运营人员提供启发式的分析,处置建议,并生成分析报告。引导和帮助运营人员针对性的分析处置,大幅度提高运营效率。也可以通过大语言模型为客户提供持续性的安全知识及建议,提升客户安全人员水平。大语言模型技术的不断深化运用,有效减少了在威胁分析和运营闭环过程中的不确定性。
图3 大语言模型实践思路
未来,绿盟科技将一如既往以创新精神、精湛技术、优质产品、专业服务,在全球范围内,提供基于自身核心竞争力的企业级网络安全产品、安全解决方案和安全运营服务,成为备受用户信赖的网络安全公司。借助创新技术如大语言模型、AISecOps在确保网络安全方面发挥更加重要的作用,为安全运营和安全管理者应对不断变化的技术和安全威胁提供支持。新时代的革命已经到来,我们应积极拥抱这一变革,以实现更低成本、更高质量和更高安全性的发展目标。