处置|奇安信发布SOAR 3.0 安全处置效率提升十倍 “安全和运维两张皮、安全能力融合不充

【处置|奇安信发布SOAR 3.0 安全处置效率提升十倍】“安全和运维两张皮、安全能力融合不充分、海量告警疲于应对、沟通靠吼操作靠手、制度流程空转……”某大型央企信息安全中心主管表示，当前安全运行存在五大痛点：人少事多、告警疲劳、响应太慢、知识流失、缺乏协作。安全运行亟需升级换代。
12月24日，奇安信在京正式发布新版安全编排与自动化响应产品(SOAR3.0) ，该产品基于自动化、智能化的网络安全检测和响应能力，以帮助政企机构打造落地可用的网络安全运行体系，安全处置效率提升十倍以上。
奇安信集团总裁吴云坤表示， SOAR不仅仅是一个产品，更是一个平台，代表一个新兴的领域，将安全、IT和人深度结合。利用体系化的方法，做到常态化运行，实现实战化攻防，为用户达到“三化六防”提供坚实的支撑。
文章插图
安全运行迎来SOAR时代
近一个月来，业界接连曝出两次大规模的网络攻击：包括Fireeye武器库泄露事件和SolarWinds供应链攻击事件。显而易见的是，网络安全形势日趋严峻。从过去几年的攻防实战演习经验来看，政企机构在面临组织化、体系化的网络攻击时，依然显得力不从心。
大多数机构并没有建立起一个行之有效的安全运行体系。从发现威胁到处置威胁，需要消耗太多的人力成本和时间成本。
尤其是在响应环节，一方面是威胁处置需要不同的安全设备之间的协同联动，依靠人工操作耗时费力；另一方面是响应人员匮乏，技能水平受困于重复性劳动难以提升，而优秀的工程师的经验也难以形成标准化的流程和动作。
“SOAR并不单单是一款产品或者一个工具。 ”奇安信集团总裁吴云坤说， “从SOAR1.0时简单的系统模块，到SOAR2.0时自动化响应的工具再到今天奇安信即将发布的SOAR3.0 ， SOAR代表着安全运行的发展趋势。 ”
吴云坤强调，从“十三五”结尾到“十四五”的开篇，这推动了网络安全进入了另一个“元年” ，标志正是实战化、常态化、体系化的安全运行在政企机构的落地， SOAR则是其中的关键。
Gartner数据显示，作为一个相对新的技术，自SOAR诞生起，就受到市场的广泛关注。预计到2023年， SOAR市场收入规模将达到5.5亿美元。
安全处置时长缩短至分钟级
SOAR大大提高的处置效率。奇安信在实践中发现，在重保时一键封禁IP场景下，对于少量的告警，人工处置要20分钟甚至更长，而利用SOAR仅需10~30秒，如果在告警量数以万计的条件下，依靠人工更加难以处置，而SOAR可以全量处置，时长仅在分钟级别。
文章插图
在威胁情报比对和高危IP封堵环节，依靠人工每天只能处理部分IP ，且每次处理都要半小时以上；依靠SOAR每个IP的研判与处置仅需不到10秒，且可以持续不断地去做，效率大大提升。
在生成安全事件报告环节，手工撰写需要4~8小时， SOAR一键导出仅需几秒钟，加上人工修订，合计时长可以控制到1小时内。
总体来看， SOAR能够将安全事件调查与响应操作的效率提高10倍以上；对于需要重复性持续性的操作，提升的效率更是数以百倍计。正因如此， SOAR受到了大型政企机构的欢迎。
　六大特性实现网络安全常态化运行
据介绍，奇安信SOAR 3.0以实战化为核心，能够帮助企业和组织将繁杂安全运行过程梳理为任务和剧本，把分散的安全工具与功能转化为可编程的应用和动作，并且借助编排和自动化技术，将团队、工具和流程的高度协同起来，覆盖安全运行的防护、检测、响应等各个环节。