在網路安全方面,SOAR 代表安全調度、自動化和回應。它包含任何可讓公司收集和分析網路安全相關資料的軟體或工具。
什麼是 SOAR,它如何運作?
SOAR 系統能讓企業組織運用各種工具與功能,利用所有網路安全相關資料來改善事件回應。
SOAR 系統的主要組件為:
調度
安全調度功能整合和分析各種技術與安全工具的資料,以加速並改善事件回應。調度也涉及協調不同的網路安全技術,以協助組織處理複雜的網路安全事件。舉例來說,SOAR 工具可以整合網路安全 IT 操作資料,利用網路監控工具的資料作為防火牆規則的基準。
自動化
任何 SOAR 工具的關鍵功能之一是自動化,它消除了手動偵測和回應安全事件的非常耗時的需求。舉例來說,SOAR 系統可自動分類特定類型的事件,並允許安全團隊定義標準化的自動化程序,例如決策工作流程、健康檢查、執行與遏制,以及稽核。
回應
SOAR 平台從其他安全工具收集資料,如安全性資訊和事件管理(SIEM)系統和威脅情報摘要。他們優先處理安全事件,並將安全事件的重要資訊傳送給安全人員。
個案管理
個案管理是任何 SOAR 平台的基本要素。個案管理功能讓安全分析人員能夠存取個別個案記錄,以便動態分析與互動任何與特定事件相關的資料,並利用該分析來改善與迭代其安全回應流程。
儀表板
SOAR 工具的儀表板提供與數字 1、2、3、4 和以上有關的所有事項的概述,即所有與安全相關的資料和活動,包括明顯事件及其嚴重性、教戰手冊、與其他安全工具的連結、工作負載,甚至是自動化活動的投資報酬率摘要。一般來說,您可以依時段、資料來源或使用者來篩選 SOAR 儀表板。可依您的規格開啟、關閉或重新排列小工具。簡而言之,它是您監控 SOAR 系統所有運作狀況,以及運作成效的中心樞紐。
SOAR 解決方案如何識別威脅?
SOAR 系統瀏覽並收集各種來源的資料,然後結合人類與機器學習來分析這些資料,以偵測潛在威脅,並排定事件回應計畫與行動的優先順序。通常,公司會將 SOAR 系統自動化,使其能夠最有效地支援網路安全。
SOAR 資料來源
SOAR 系統從許多不同來源提取和分析資料,包括:
- 弱點掃描程式,是設計用來評估電腦、網路或應用程式安全性弱點的電腦程式。
- 端點保護軟體,可保護組織的端點,如伺服器和個人電腦,免受惡意軟體感染、網路攻擊和其他威脅。
- 防火牆 是基於預定的安全規則來監控和控制傳入和傳出網路流量的網路安全系統。
- 入侵偵測和入侵防護系統,這是網路安全工具,可持續監控網路是否有惡意活動,並採取行動加以防範。
- 資安資訊與事件管理(SIEM)平台,將日誌資料、資安警示和事件彙整到集中式平台,以進行安全性監控和警示的即時分析。
- 外部威脅情報摘要,包括從第三方供應商收集的任何可操作的威脅資料,以增強網路威脅回應和意識。
SOAR 的主要優點
SOAR 系統透過兩項主要優勢,實現更有效且高效率的事件回應:
- 更快速的事件回應:SOAR 幫助公司減少平均偵測時間(MTTD)和平均還原時間(MTTR),將安全警示獲得認證所需的時間從數月或數週補救為數分鐘。SOAR 也能透過稱為教戰手冊的程序,實現事件回應自動化。自動化的行動包括封鎖防火牆或 IDS 系統的 IP 位址、暫停使用者帳戶,以及將受感染的端點與網路隔離。
- 更好的網路安全情報:由於 SOAR 系統能夠彙整和分析來自許多不同來源的資料,因此能強化所有類型網路安全威脅的背景,並減少錯誤警報,幫助安全團隊更快速而非更努力地工作。
SOAR 與 SIEM
SOAR 和 SIEM 都處理安全威脅的資料,並實現更好的安全事件回應。
然而,SIEM 會彙整並關聯來自多個安全系統的資料,以產生警示,而 SOAR 則作為這些警示的補救和回應引擎。
為了使用汽車類比,SIEM 是汽車引擎的燃料,引擎本身是 SOAR,因為它使用燃料來提供結果和動作,並使一切自動運行。
SOAR 工具應注意什麼
無論您使用何種 SOAR 工具,都應該能夠:
- 擷取並分析來自各種安全系統的資料與警示。
- 打造自動化工作流程,幫助公司識別、排定優先順序、調查並回應網路安全威脅和警示。
- 與其他工具輕鬆整合,以改善營運。
- 執行事後分析,以改善回應流程與事件回應效率。
- 自動化大多數安全作業,以消除冗餘,並讓安全團隊專注於需要更多人為參與的任務。
當然,SOAR 系統可能含有更多鈴鐺和哨子,但請考量上述任何 SOAR 工具的必備項目。
真實世界 SOAR 範例:網路釣魚回應
網路釣魚電子郵件不僅對個人,也對企業安全團隊造成重大威脅,因為其中一些電子郵件經過精心設計,足以執行高知名度的資料外洩。有了 SOAR 系統,公司不僅能抵禦網路釣魚攻擊,還能預防未來發生。
SOAR 工具透過擷取和分析各種偽影來檢查可疑的惡意電子郵件,包括標題資訊、電子郵件地址、URL 和附件。然後,它會對威脅進行分類,以確定威脅是否構成威脅,如果構成威脅,威脅的嚴重性。
如果 SOAR 工具判定電子郵件是惡意的,它將:
- 封鎖它和其他信箱中的任何其他實例。
- 防止與電子郵件相關的可執行檔執行。
- 封鎖來源 IP 位址或 URL。
- 如有需要,隔離受影響的使用者工作站。
當然,SOAR 系統並不保證每封網路釣魚電子郵件都會被攔截。如果確實遇到問題,案例管理功能可讓安全團隊調查所發生的情況,以及原因,並運用這些知識來改善 SOAR 系統的威脅偵測。
SOAR:底線
SOAR 系統可將調查和回應時間從數小時縮短至數分鐘。此外,他們只使用最高品質的威脅資料來簡化資安作業,進而大幅降低組織風險。最終,他們允許對人類分析師和人類情報進行更具策略性的配置,使公司能夠最大化內部資源,同時將外部威脅降至最低。