近日,Gartner發(fā)布了2023年Market Guide for Security Orchestration,Automation and
Response Solutions報告(《安全編排自動化與響應(yīng)(SOAR)市場指南》),綠盟科技再度入圍,連續(xù)兩年被列為代表供應(yīng)商����。
Gartner
將SOAR定義為“安全編排、自動化和響應(yīng)(SOAR)解決方案在單個平臺中結(jié)合了事件響應(yīng)�����、編排和自動化以及威脅情報(TI)管理功能���。SOAR工具還用于記錄和實現(xiàn)流程(又名劇本���、工作流和流程);支持安全事件管理;并將基于機器的輔助應(yīng)用于人類安全分析師和操作員?!蓖瑫r,Gartner在市場指南中提到,“SOAR解決方案主要用于以下維度:提高安全運營效率;在安全流程中創(chuàng)造更多的一致性;改進(jìn)威脅預(yù)防、檢測和響應(yīng);提高優(yōu)先級;讓威脅情報有效運轉(zhuǎn)�。”
我們認(rèn)為在選擇SOAR解決方案時需要考慮的建議要求:支持跨多個現(xiàn)有點解決方案市場的廣泛安全產(chǎn)品(例如端點保護平臺�����、防火墻�、入侵檢測和防御系統(tǒng)[IDPSs]、安全信息和事件管理(SIEM)���、安全電子郵件網(wǎng)關(guān)����、SSE和漏洞評估技術(shù));支持進(jìn)行事件關(guān)聯(lián)和聚合的能力,以更好地充實事件,以改進(jìn)安全操作流程和報警。實現(xiàn)這一點的一個關(guān)鍵方法是通過實施低代碼“劇本”,它允許對流程進(jìn)行編碼,可以應(yīng)用自動化來提高一致性和節(jié)省時間,能夠部署在本地或作為云解決方案(如SaaS);支持從第三方來源攝取各種各樣的來源和格式的TI;支持開源�����、行業(yè)和政府(信息共享和分析中心[ISACs]和計算機應(yīng)急響應(yīng)小組[CERTs])和商業(yè)提供商�。與IT運營解決方案進(jìn)行雙向集成,
如用于案例管理的票務(wù)系統(tǒng)和協(xié)作工具,如用于更好的實時通信的消息應(yīng)用程序。
綠盟科技智能安全運營管理平臺
NSFOCUS ISOP
NSFOCUS
ISOP的SOAR能力區(qū)別于其他產(chǎn)品的關(guān)鍵能力是系統(tǒng)架構(gòu)開放化和部署靈活化����、安全能力編排生態(tài)化、安全流程高度定制化����、安全分析響應(yīng)智能化、案例知識實戰(zhàn)化����。最為關(guān)鍵的是AISecOps創(chuàng)新技術(shù)能力已在多個行業(yè)客戶處進(jìn)行了深度實踐使用。通過AI輔助的智能化研判覆蓋率高達(dá)96.7%,大幅提升了運營效率;通過AI技術(shù)的運用,實現(xiàn)了海量告警的降噪和自動化研判分析;通過智能分診推薦能力,實現(xiàn)場景和模型的升級,與SOAR組合為客戶提供更智能的交互運營手段�����。以事件響應(yīng)為必備應(yīng)用場景,利用XDR技術(shù)和綠盟豐富的威脅情報數(shù)據(jù),助力安全運營人員高效開展各項安全運營工作,提升安全運營的實戰(zhàn)化水平�����。
圖1 SOAR可視化編排案例示例
此外,我們也注意到隨著自動化和智能技術(shù)的發(fā)展,網(wǎng)絡(luò)安全防守方未來將面臨更加嚴(yán)峻的挑戰(zhàn)����。因此,我們也在不斷探索更多自動化、智能化�、實戰(zhàn)化的安全應(yīng)用場景,目前ISOP已完成近百個國內(nèi)外主流安全產(chǎn)品能力對接,積累了上百種典型的安全劇本場景,覆蓋安全事件響應(yīng)閉環(huán)、安全分析取證調(diào)查�、安全評估檢查等實際業(yè)務(wù)使用場景。通過了上千個客戶生產(chǎn)或測試環(huán)境檢驗,能夠靈活兼容各類云化部署環(huán)境和獨立部署應(yīng)用環(huán)境�����。
圖2 安全應(yīng)用商城示例
未來,大語言模型技術(shù)也將會對SOAR的自動化效率提升和工具開放化提供更多便利����。NSFOCUS
ISOP在數(shù)據(jù)處理、風(fēng)險分析����、運營效率和知識提供等應(yīng)用場景進(jìn)行了大語言模型技術(shù)創(chuàng)新研究和實踐場景的思考。通過大語言模型技術(shù)的使用對于數(shù)據(jù)接入和處理過程中的自動特征識別,定義,歸類將更便捷�。同時也可完成多源數(shù)據(jù)(漏洞、資產(chǎn)�����、威脅、應(yīng)用�、系統(tǒng)等)的聚合分析應(yīng)用,識別傳統(tǒng)檢測規(guī)則識別不到的未知風(fēng)險。借助大語言模型也可以為運營人員提供啟發(fā)式的分析,處置建議,并生成分析報告�����。引導(dǎo)和幫助運營人員針對性的分析處置,大幅度提高運營效率����。也可以通過大語言模型為客戶提供持續(xù)性的安全知識及建議,提升客戶安全人員水平。大語言模型技術(shù)的不斷深化運用,有效減少了在威脅分析和運營閉環(huán)過程中的不確定性�。
圖3 大語言模型實踐思路
未來,綠盟科技將一如既往以創(chuàng)新精神、精湛技術(shù)���、優(yōu)質(zhì)產(chǎn)品�、專業(yè)服務(wù),在全球范圍內(nèi),提供基于自身核心競爭力的企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品�、安全解決方案和安全運營服務(wù),成為備受用戶信賴的網(wǎng)絡(luò)安全公司。借助創(chuàng)新技術(shù)如大語言模型�、AISecOps在確保網(wǎng)絡(luò)安全方面發(fā)揮更加重要的作用,為安全運營和安全管理者應(yīng)對不斷變化的技術(shù)和安全威脅提供支持。新時代的革命已經(jīng)到來,我們應(yīng)積極擁抱這一變革,以實現(xiàn)更低成本����、更高質(zhì)量和更高安全性的發(fā)展目標(biāo)�。
中企網(wǎng)微博
中企網(wǎng)微信