实力代表 | 绿盟科技被Gartner列为SOAR市场代表供应商

阅读： 4

近日，国际权威咨询机构Gartner发布《Market Guide for Security Orchestration，Automation and Response Solutions》报告，绿盟科技凭借其智能安全运营管理平台（以下简称绿盟ISOP）优异的能力表现，被列为SOAR市场代表供应商。绿盟ISOP具备灵活的开箱即用能力、自动化编排能力、丰富的情报运作及管理能力，可提供端到端的安全编排能力，以及从威胁检测、威胁分析到自动化协同响应的闭环解决方案，并积累了丰富的客户实际使用案例。

Gartner将SOAR定义为结合事件响应、自动化编排以及威胁情报平台管理的解决方案。SOAR工具可用于多项安全运营管理工作，如记录和实施流程、支持安全事件管理、将基于机器的辅助应用于安全分析师和操作员，以及更好地利用威胁情报。工作流程可以通过集成其他技术进行编排，并自动实现所需的结果，用例包含事件分类、事件响应、威胁情报（TI）的获取和管理。

Gartner报告指出，从技术发展来看，SOAR解决方案融合了三种历史上截然不同的技术，如安全事件响应平台（SIRPS）、安全编排和自动化（SOAR）、威胁情报平台（TIPs）。Gartner调研发现客户使用SOAR解决方案的期望是提高生产力、效率和一致性。但是当前管理、威胁情报、事件响应和威胁搜索还处于初级阶段。客户在选择SOAR解决方案时会考虑以下要求：

支持跨多个现有安全产品的单点解决方案（如端点、防火墙、入侵检测和防御系统、SIEM、安全邮件网关、SSE和漏洞评估技术）。
支持进行事件关联和聚合的能力，以便通过更好的事件来丰富改进安全操作流程和告警，实现这一点的一个关键方法是低代码“剧本”，它允许对自动化过程进行编码，可用于提高一致性并节省时间。
能够部署在本地或作为云解决方案(如SaaS)。
支持从第三方来源摄取各种来源和格式的威胁情报，支持开源、行业、政府(信息共享、分析中心和计算机应急响应小组)及商业提供商。
与IT运营解决方案双向集成，如用于案例管理的工单系统和协作工具、用于更好实现实时通信的消息应用程序。

绿盟ISOP核心能力

绿盟ISOP作为企业安全运营的有力抓手，其包含的SOAR模块通过可视化编排将人、安全技术、流程进行深度融合。通过Playbook剧本串并联构建安全事件处置的工作流，自动化触发不同安全设备执行的响应动作。基于安全事件上下文有更全面、端到端的理解，有助于将复杂的事件响应过程和任务转换为一致、可重复、可度量和有效的工作流，变被动应急响应为自动化持续响应。

可视化编排示例

开箱即用的安全能力，构建企业个性化安全生态

绿盟ISOP秉承第三方数据源及设备开箱即上线的迭代化持续交付理念，覆盖安全检测、安全防御、脆弱性评估和安全响应四大类、近百种设备和产品，通过标准接口对接即可融入到自动化响应处置流程中。通过平台定义的DevSecOps框架能力，在系统中以插件化方式定义设备接口，并支持在平台运行状态下实现设备的开箱即用（out-of-box）自动化集成。

端到端的自动化编排响应处置流程，涵盖丰富、灵活的可拆解动作

绿盟ISOP内置了数十种常见主流攻击对应的案例，此外企业可通过可视化拖拽编排方式快速创建案例及其对应的Playbook剧本，安全研判不同步骤之间往往具有依赖关系，安全事件分析过程通过可视化拖拽方式，为安全处置提供上下文，避免传统运维要在不同页面间跳转切换，降低安全事件处置复杂度。案例一旦创建成功启用，后续命中案例的事件即可通过自动化方式处置，降低了不同部门间协同沟通、流程流转消耗的成本。案例可以帮助企业对一组相关事件进行流程化、持续化的调查分析与响应处置跟踪记录，案例执行过程中，安全事件的每个中间过程执行状态（成功、执行中、失败）均可在可视化编排流程中展示，进而实现端到端的运维流程可视化。

多级自动化处置流程

针对已知威胁并固化了相应Playbook执行脚本的案例，当威胁发生时送入到SOAR平台中，SOAR引擎自动调用固化的Playbook脚本，依据Playbook固化的处理流程及处理优先级，实现对威胁的全局封堵、被感染主机清除及被影响主机的加固等响应过程。

实战化使用场景积累

SOAR可以应用于演练保障快速处置、日常运维深度研判、人机协同经验持续固化场景，从不同方面有效提升企业安全管理能力。大型演练保障活动往往关注“短时间内大批量IP的快速封禁能力”，通过 SOAR与网络安全设备对接，对全网不同出口的安全设备下发封堵任务，实现对攻击IP的快速封禁，缩短攻击者横向蔓延、提权等动作的时间。随着运维习惯的固化，防御者往往会结合业务系统的属性对封禁进行持续性优化，对于平时没有国外访问的业务系统，防御者也会经常直接对国外的源IP进行全网封禁。在保障演练期间，攻击者一般会使用一些0DAY攻击手法进行攻击，这时安全设备往往没有规则对该事件进行检测。云端的专家团队可以借用专业的攻防安全分析知识，通过云地协同的工作模式，第一时间对攻击者采用的攻击手法、攻击路径、攻击特征进行分析，并及时下发给SOAR。日常运维中，通常不仅依托于威胁情报IP就简单判断一个威胁事件，SOAR需要结合危害级别、攻击频率对威胁事件的处置方法进行综合判定。例如某攻击IP的风险值为高，且在30分钟内发起了大于50次攻击，则可通过SOAR对设备发起全网封禁。

可以预见，未来SOAR可以有效帮助安全团队加速实现安全流程的标准化、自动化和智能化。SOAR的建设也不是一蹴而就的，随着安全团队在安全操作中对应用自动化需求的不断提高，SOAR将加速建设生态圈，通过持续不断连接不同的解决方案，大幅提升安全运营的效能和成熟度。

参考文献

[1] Market Guide for Security Orchestration, Automation and Response Solutions Published 13 June 2022 – ID G00735883

备注

Gartner并未在其研究报告中支持任何供应商、产品或服务，也并未建议科技用户只选择该等获最高评分或其它称号的供应商。Gartner的研究报告含有Gartner研究与顾问组织的意见，且该意见不应被视作事实陈述。就该研究报告而言，Gartner放弃做出所有明示或默示的保证，包括任何有关适销性或某一特定用途适用性的保证。

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。
上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无关。