信息通信基于SOAR技术的网络安全自动驾驶的研究汪有杰(中国电信安徽公司省云网运营中心,安徽合肥230031)摘要:目前企业均具备了一定的网络安全攻击监测和防护处置能力。但在网络安全运营中,网络安全告警误报和漏报、安全子系统能力缺乏协同联动、安全事件分析研判处置依赖网络安全专家等问题依然突出。随着网络安全技术的发展和安全防护体系架构的演变,未来基于SOAR技术将是持续自适应安全防护和网络安全自动驾驶的基础。关键词:SOAR;编排;自动化响应;网络安全;自动驾驶中图分类号:TP311随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。正是在这样的背景下,在国际上,检测和响应类产品受到了极大的关注。放眼国内,更多的注意力集中到了新型检测产品,尤其是未知威胁检测领域。借助这些产品和技术,用户获得了更低的MTTD(平均检测时间),能够更快更准确地检测出攻击和入侵。但是,这些产品和技术大都没有帮助用户降低MTTR(平均响应时间)。事实上,对于用户而言,更快地检测出问题仅仅是第一步,如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候,不能仅仅从单点(譬如单纯从端点或者网络)去考虑,还需要从全网整体安全运维的角度去考虑,要将分散的检测与响应机制整合起来。而这,正是SOAR要解决的问题。在企业网络安全运营过程中,企业通常面临以下痛点问题。一是网络安全告警误报和漏报。现有基于规则、行为的安全监测、防护设备监测产生误告警量大,同时部分社会工程学、APT等方式的攻击在安全监测设备上存在漏报。二是企业安全子系统能力缺乏协同、联动。安全子系统各自为战,联动性不足。三是安全事件分析、处置依赖安全专家,安全自动化运营能力不足。由于大量的误告警、漏报告警,安全子系统各自为战,不能有效统一,导致网络安全事件的监测、场景化处置完全依靠技术人员,安全事件监测和处置效率低,本文针对企业存在以上痛点问题,提出基于SOAR技术的网络安全自动驾驶,希望对我国网络安全防护事业持续、稳定的发展提供参考和借鉴。1SOAR简介SOAR(SecurityOrchestration,AutomationandResponse),即安全编排自动化与响应,最早由Gartner于2015年提出,能够将已有的安全技术和产品进行最大化的整合,实现安全运营中人、机器、流程的结合。SOAR在经...
