實力代表 | 綠盟科技被Gartner列為SOAR市場代表供應商

近日，國際權威諮詢機構Gartner釋出《Market Guide for Security Orchestration，Automation and Response Solutions》報告，綠盟科技憑藉其智慧安全運營管理平臺（以下簡稱綠盟ISOP）優異的能力表現，被列為SOAR市場代表供應商。綠盟ISOP具備靈活的開箱即用能力、自動化編排能力、豐富的情報運作及管理能力，可提供端到端的安全編排能力，以及從威脅檢測、威脅分析到自動化協同響應的閉環解決方案，並積累了豐富的客戶實際使用案例。

Gartner將SOAR定義為結合事件響應、自動化編排以及威脅情報平臺管理的解決方案。SOAR工具可用於多項安全運營管理工作，如記錄和實施流程、支援安全事件管理、將基於機器的輔助應用於安全分析師和操作員，以及更好地利用威脅情報。工作流程可以透過整合其他技術進行編排，並自動實現所需的結果，用例包含事件分類、事件響應、威脅情報（TI）的獲取和管理。

Gartner報告指出，從技術發展來看，SOAR解決方案融合了三種歷史上截然不同的技術，如安全事件響應平臺（SIRPS）、安全編排和自動化（SOAR）、威脅情報平臺（TIPs）。Gartner調研發現客戶使用SOAR解決方案的期望是提高生產力、效率和一致性。但是當前管理、威脅情報、事件響應和威脅搜尋還處於初級階段。客戶在選擇SOAR解決方案時會考慮以下要求：

• 支援跨多個現有安全產品的單點解決方案（如端點、防火牆、入侵檢測和防禦系統、SIEM、安全郵件閘道器、SSE和漏洞評估技術）。

• 支援進行事件關聯和聚合的能力，以便透過更好的事件來豐富改進安全操作流程和告警，實現這一點的一個關鍵方法是低程式碼“劇本”，它允許對自動化過程進行編碼，可用於提高一致性並節省時間。

• 能夠部署在本地或作為雲解決方案(如SaaS)。

• 支援從第三方來源攝取各種來源和格式的威脅情報，支援開源、行業、政府(資訊共享、分析中心和計算機應急響應小組)及商業提供商。

• 與IT運營解決方案雙向整合，如用於案例管理的工單系統和協作工具、用於更好實現實時通訊的訊息應用程式。

綠盟ISOP核心能力

綠盟ISOP作為企業安全運營的有力抓手，其包含的SOAR模組透過視覺化編排將人、安全技術、流程進行深度融合。透過Playbook劇本串並聯構建安全事件處置的工作流，自動化觸發不同安全裝置執行的響應動作。基於安全事件上下文有更全面、端到端的理解，有助於將複雜的事件響應過程和任務轉換為一致、可重複、可度量和有效的工作流，變被動應急響應為自動化持續響應。

視覺化編排示例

開箱即用的安全能力，構建企業個性化安全生態

綠盟ISOP秉承第三方資料來源及裝置開箱即上線的迭代化持續交付理念，覆蓋安全檢測、安全防禦、脆弱性評估和安全響應四大類、近百種裝置和產品，透過標準介面對接即可融入到自動化響應處置流程中。透過平臺定義的DevSecOps框架能力，在系統中以外掛化方式定義裝置介面，並支援在平臺執行狀態下實現裝置的開箱即用（out-of-box）自動化整合。

端到端的自動化編排響應處置流程，涵蓋豐富、靈活的可拆解動作

綠盟ISOP內建了數十種常見主流攻擊對應的案例，此外企業可透過視覺化拖拽編排方式快速建立案例及其對應的Playbook劇本，安全研判不同步驟之間往往具有依賴關係，安全事件分析過程透過視覺化拖拽方式，為安全處置提供上下文，避免傳統運維要在不同頁面間跳轉切換，降低安全事件處置複雜度。案例一旦建立成功啟用，後續命中案例的事件即可透過自動化方式處置，降低了不同部門間協同溝通、流程流轉消耗的成本。案例可以幫助企業對一組相關事件進行流程化、持續化的調查分析與響應處置跟蹤記錄，案例執行過程中，安全事件的每個中間過程執行狀態（成功、執行中、失敗）均可在視覺化編排流程中展示，進而實現端到端的運維流程視覺化。

多級自動化處置流程

針對已知威脅並固化了相應Playbook執行指令碼的案例，當威脅發生時送入到SOAR平臺中，SOAR引擎自動呼叫固化的Playbook指令碼，依據Playbook固化的處理流程及處理優先順序，實現對威脅的全域性封堵、被感染主機清除及被影響主機的加固等響應過程。

實戰化使用場景積累

SOAR可以應用於演練保障快速處置、日常運維深度研判、人機協同經驗持續固化場景，從不同方面有效提升企業安全管理能力。大型演練保障活動往往關注“短時間內大批次IP的快速封禁能力”，透過 SOAR與網路安全裝置對接，對全網不同出口的安全裝置下發封堵任務，實現對攻擊IP的快速封禁，縮短攻擊者橫向蔓延、提權等動作的時間。隨著運維習慣的固化，防禦者往往會結合業務系統的屬性對封禁進行持續性最佳化，對於平時沒有國外訪問的業務系統，防禦者也會經常直接對國外的源IP進行全網封禁。在保障演練期間，攻擊者一般會使用一些0DAY攻擊手法進行攻擊，這時安全裝置往往沒有規則對該事件進行檢測。雲端的專家團隊可以借用專業的攻防安全分析知識，透過雲地協同的工作模式，第一時間對攻擊者採用的攻擊手法、攻擊路徑、攻擊特徵進行分析，並及時下發給SOAR。日常運維中，通常不僅依託於威脅情報IP就簡單判斷一個威脅事件，SOAR需要結合危害級別、攻擊頻率對威脅事件的處置方法進行綜合判定。例如某攻擊IP的風險值為高，且在30分鐘內發起了大於50次攻擊，則可透過SOAR對裝置發起全網封禁。

可以預見，未來SOAR可以有效幫助安全團隊加速實現安全流程的標準化、自動化和智慧化。SOAR的建設也不是一蹴而就的，隨著安全團隊在安全操作中對應用自動化需求的不斷提高，SOAR將加速建設生態圈，透過持續不斷連線不同的解決方案，大幅提升安全運營的效能和成熟度。

參考文獻

[1] Market Guide for Security Orchestration, Automation and Response Solutions Published 13 June 2022 - ID G00735883

備註

Gartner並未在其研究報告中支援任何供應商、產品或服務，也並未建議科技使用者只選擇該等獲最高評分或其它稱號的供應商。Gartner的研究報告含有Gartner研究與顧問組織的意見，且該意見不應被視作事實陳述。就該研究報告而言，Gartner放棄做出所有明示或默示的保證，包括任何有關適銷性或某一特定用途適用性的保證。