SOAR（security orchestration，automation and response），由Gartner于2015年(nián)提出，最初的(de)含義是(shì)安全運營、分(fēn)析與報(bào)告。2017年(nián)，Gartner又(yòu)重新定義了(le)SOAR的(de)能(néng)力，包括安全編排、安全自(zì)動化(huà)和(hé)安全響應。

Gartner認為(wèi)，SOAR是(shì)一(yī)組兼容軟件(jiàn)程序的(de)堆棧，用(yòng)以收集對(duì)網絡安全造成威脅的(de)數(shù)據，并對(duì)安全事(sh♦ì)件(jiàn)做(zuò)出響應。用(yòng)戶使用(yòng)SOAR平台的(de)目的(de)是(shì)提高(gāo)物(wù)理(lǐ)系統及數(shù)字安全運營的(de)效率。

SOAR的(de)三大(dà)功能(néng)

安全編排

安全編排是(shì)通(tōng)過工(gōng)具将不(bù)同系統整合，如(rú)漏洞掃描、終端防護、行(xín₩g)為(wèi)分(fēn)析、防火(huǒ)牆、IDS/IPS或外(wài)部威脅情報(bào)源等，進行(xíng)自(zì)定義集成和(hé)接口對(duì)接，從(cóng)而提升數♦(shù)據的(de)收集能(néng)力。

通(tōng)過這(zhè)些(xiē)來(lái)源收集的(de)數(shù)據越多(duō)，偵測威脅的(de)機(jī)會(huì)就(jiù)越大(dà)，同時(×shí)也(yě)能(néng)獲得(de)更完整的(de)背景信息，并改善協作(zuò)。

 安全自(zì)動化(huà)

安全自(zì)動化(huà)通(tōng)過分(fēn)析從(cóng)安全編排中收集的(de)數(shù)據及告警，創建自(zì)動化(hu♥à)流程來(lái)替代人(rén)工(gōng)流程。安全運營平台以前由分(fēn)析人(rén)員(yuán)執行(xíng)的(de)任務，比如(rú)漏洞掃描、日(rì)志₩(zhì)分(fēn)析和(hé)審計(jì)能(néng)力，現(xiàn)在能(néng)夠通(tōng)過SOAR的(de)安全自(zì)動化(huà)功能(néng)實現(xiàn)标準化(huà)并且自(zì)動執行(xíng')。

 安全響應

安全響應為(wèi)分(fēn)析人(rén)員(yuán)提供單一(yī)視(shì)圖，這(zhè)個(gè)單一(yī)視(shìγ)圖可(kě)以促進安全、網絡和(hé)系統之間(jiān)的(de)協作(zuò)及情報(bào)共享。安全人(rén)>員(yuán)在檢測到(dào)威脅後，能(néng)夠規劃、管理(lǐ)、監控和(hé)報(bào)告已↑采取的(de)行(xíng)動。

 SOAR的(de)核心優勢

SOAR是(shì)基于系統執行(xíng)安全操作(zuò)的(de)能(néng)力，能(néng)夠檢測、調查和(hé)消除網絡威脅，無需人(rén)工←(gōng)幹預。SOAR的(de)自(zì)動化(huà)編排與響應能(néng)力能(néng)夠實現(xiàn‌)以下(xià)功能(néng)：

- 檢測用(yòng)戶環境中的(de)威脅；

- 對(duì)潛在威脅進行(xíng)分(fēn)類；

- 确定是(shì)否對(duì)事(shì)件(jiàn)采取行(xíng)動；

- 控制(zhì)并解決問(wèn)題。

SOAR的(de)這(zhè)些(xiē)功能(néng)無需人(rén)工(gōng)幹預即可(kě)實現(xiàn)。安全♦分(fēn)析人(rén)員(yuán)不(bù)需要(yào)按照(zhào)步驟、說(shuō)明(míng)和(hé)​決策流程來(lái)确定事(shì)件(jiàn)是(shì)否是(shì)合法事(shì)件(jiàn)；重複、耗時(shí)的(de)操₹作(zuò)可(kě)以通(tōng)過SOAR的(de)自(zì)動編排與響應功能(néng)完成，分(fēn)析人(rén)員(yuán)可(kě)以專注于更重要(yào)、增值的(de)工(gōng)作(zuò)。

安數(shù)雲的(de)DCS-SOAR平台

面對(duì)海(hǎi)量數(shù)據，如(rú)何進行(xíng)精準高(gāo)效的(de)安全運營，是(shì)當前各行(xíng)業(yè)用(yòng)戶重點關注的(de)問(wè↔n)題。安數(shù)雲作(zuò)為(wèi)國(guó)內(nèi)專業(yè)的(de)雲安全整體(tγǐ)解決方案及服務提供商，敏銳把握用(yòng)戶需求，推出安數(shù)雲DCS-SOAR（安全編排自(zì)動化(huà)響應）平台，通(tōng)過充分(fēn)應用(yòng)SOAR的(de)各項安全能(néng)力，為(wèi)用(yòng)戶提供更高(gāo)效的(de)智能(néng)安全運營管理(lǐ)服務。

安數(shù)雲認為(wèi)，業(yè)內(nèi)SOAR平台主要(yào)分(fēn)為(wèi)三個(gè)類型：集成型、獨立型、混合型。安數(shù)雲以混合型切入，安數(shù)雲DCS-SOAR平台通(tōng)過資産、事(shì)件(jiàn)、漏洞、定時(shí)四個(gè)維度開(kāi)展安全編排與自(zì)動響應功能(néng)，通(tōng)過組織收集多(duō)種來(lái)源的(de)數(shù)據，并根據縱₽深防禦原則，應用(yòng)工(gōng)作(zuò)流來(lái)拉通(tōng)各種流程和(hé)規程。

以資産類響應為(wèi)例，用(yòng)戶上(shàng)線資産後，通(tōng)過資産探測觸發劇(jù)本，劇(jù)本自(zì)σ動與資産管理(lǐ)模塊聯動、根據資産類型進行(xíng)分(fēn)類入庫及漏洞掃描、期間(jiān)通(tōng)過AI模型引擎進行(xíng)數(shù)據處理(lǐ)及搜集，将需要(yào)防護的(de)資産生(shēng)成對(duì)應策略，并添加至SDN服務鏈進行(xíng)防護，整套流程全部通(tōng)過劇(jù)本編排做(zuò)到(dào)自(zì)動化(huà)響應。

除此以外(wài)，AI引擎還(hái)會(huì)提供包括事(shì)件(jiàn)管理(lǐ)、告警統計(jì)、威脅情報(bào)管理(lǐ)、自(zì)動巡檢，以及功能(n£éng)分(fēn)析等多(duō)種能(néng)力。

安數(shù)雲DCS-SOAR平台緻力于解決用(yòng)戶雲上(shàng)資産的(de)安全運營問(wèn)題，面對(duì)用(yòng)戶防護設備繁雜(zá)臃腫、安全事(shì)件(jiàn)難以及時(✔shí)響應、運營成本逐年(nián)上(shàng)升的(de)困境，安數(shù)雲DCS-SOAR平台以安全大(dà)腦(nǎo)驅動為(wèi)核心，建立運營體(tǐ)系，通(tōng)過OneStep框架實現(xiàn)第三方安全産品的(de)“無門(mén)檻接入、低(dī)門(mén)檻納管”；通(tōng)過劇(jù)本編排實現(xiàn≥)自(zì)動化(huà)快(kuài)速響應以及網絡調度。

安數(shù)雲DCS-SOAR平台以安全運營為(wèi)導向，通(tōng)過态勢感知(zhī)+SOAR+雲安全管理(lǐ)等各項功能(néng)，協助用(yòng)戶實現(xiàn)低(dī)成本的(de)資産管控以及安全運營，達到(dào)可(kě)視(shì)、可(kě)用<(yòng)、可(kě)管、可(kě)控。

得(de)力于DCS-AI安全大(dà)腦(nǎo)，安數(shù)雲DCS-SOAR平台結合多(duō)源異構日(rì)志(zhì)采集處理(lǐ)、大(dà)數(shù)據檢索存儲，對(duì)安全事(shì)件(jiàn)應急響應速度提升1200%，對(duì)于0day漏洞，也(yě)能(néng)夠快(kuài)速從(cóng)情報(bào)庫中檢索，第一(yī)時(shí)間(jiān)快(kuài)速篩​查并隔離(lí)風(fēng)險資産。

SOAR平台是(shì)網絡安全運營趨勢

在不(bù)斷增長(cháng)且日(rì)益數(shù)字化(huà)的(de)世界中，網絡安全面臨諸多(duō)挑戰。威脅變得(de)越來(lái)越頻(pín)繁和(hé∞)複雜(zá)，企業(yè)需要(yào)制(zhì)定一(yī)種高(gāo)效且有(yǒu)效的(de)安全運營策略，應對(duì)安全挑戰。SOAR成為(wèi)安全運營團隊管理(lǐ)、分(fēn)析和(hé)應對(duì)告警及威脅的(de)新方式。

威脅和(hé)告警數(shù)量不(bù)斷增長(cháng)，資源又(yòu)不(bù)足以應對(duì)所有(yǒu)問(wèn)題，在日(rì)常運營中，分(fēn)析人(rén)₽員(yuán)需要(yào)快(kuài)速決定哪些(xiē)告警需要(yào)處理(lǐ)，哪些(xiē)可(kě)以忽略，但(dàn)由于超負荷 工(gōng)作(zuò)，很(hěn)可(kě)能(néng)錯(cuò)過真正的(de)威脅，在應對(duì)威脅和(hé)惡意攻擊時(shí)出現(xiàn)誤判，最終使網絡及數(sσhù)據産生(shēng)安全洩露，造成無可(kě)挽回的(de)損失。

因此，系統化(huà)安全編排并通(tōng)過自(zì)動化(huà)響應，對(duì)于處理(lǐ)威脅告警的(de)過§程是(shì)至關重要(yào)的(de)。通(tōng)過過濾掉占用(yòng)過多(duō)精力和(hé)資源的(de)單調任務，安全運營團隊在處理(lǐ)和(hé)調查事(shì)✘件(jiàn)時(shí)更加有(yǒu)效和(hé)高(gāo)效，從(cóng)而能(néng)夠極大(dà)地(dì)改善整個(gè)網絡的(de)安全狀況。