《2021年中国网络安全态势感知十大技术趋势预测分析报告》-北方学院网站-教育技术与信息中心
安全运营中心(SOC)的核心系统SIEM平台已部署多年,然而在处理日常安全运营工作时仍然遇到大量问题,导致部署、实施、运营的成本持续居高不下。
2015年,Gartner首次提出SOAR概念,将其定义为对利用机器可以读取的、有含义的安全数据提供报告、分析和管理的能力,为整个运营安全团队提供支持
2017年Gartner对SOAR进行了全新的概念升级,将SOAR定义为安全编排自动化与响应,并对其做出了相应的解释:SOAR是一种帮助组织能够收集不同来源与安全相关的风险和告警数据的技术,并且根据标准的工作流帮助明确定义、定优先级、标准化的进行事件响应活动。
日常工作面临的困境是:处理威胁事件的流程繁琐,周期较长,有时需要数天甚至数周;但威胁事件的数量,不会随着你的处理而变少,反而是随着:
1、安全设备的网善和补充
2、检测能力的不断增强
而呈现出爆发性增长的趋势,从而导致安全运营需求与实际效果存在较大偏差,且持续扩大。
SOAR产品通过设备标准化集成、剧本可视化编排、案件全流程管理,将企业安全运营所需的数据、工具和人员最大程度地耦合在一起,极大提升了告警研判、威胁处置、闭环响应等任务的执行效率,大大降低安全运营成本,解决了企业在安全运营中的常见问题:
1、安全事件响应不及时
2、安全设备孤立联动性差
3、海量安全告警无法及时处置
4、日常运营重复工作量大
5、安全运营专业人员匮乏
SOAR在资源整合、自动响应、提升效率上的巨大优势将注定使其取代SIEM平台成为SOC 2.0时代的核心利器。
政企中普遍存在多个各类内部管理信息系统,如各类OA/CRM/ERP系统等等,其中包含了大量的敏感数据,在便捷办公的同时,埋下了安全隐患。
攻击者不仅来自于外部,事实上,超过一半的安全攻击都是由内部员工造成的,有恶意的,也有无意的粗心错误操作导致。由受信员工产生的内部威胁极有可能导致重大经济损失,并伴随公信力下降。
UEBA可使用机器学习实现账号变更、行为变更等异常操作行为进行快速检测,常见的如账号的异常登录、服务器上用户的违规操作和终端上的异常动作等等。UEBA通过与大数据驱动、人工智能等技术相结合,能够将内部的违规操作、窃取数据、非法删除等非正常行为和正常行为区分并精准地进行描述,从而以极高的准确率命中异常事件,使得内部的威胁浮出水面。并在安全漏洞可能发生之前主动预警,帮助企业止损,同时为企业降低在诉讼中浪费的时间和金钱,降低公关危机。
内部人员的越权或风险行为能引起严重的网络安全威胁事件。所以通过UEBA机器学习模型建立行为基线,实时发现预警各类账号的异常行为,是最后一道关键防线。
网友评论