近日，Gartner發(fā)布了2023年Market Guide for Security Orchestration,Automation and Response Solutions報(bào)告(《安全編排自動(dòng)化與響應(yīng)(SOAR)市場(chǎng)指南》)，綠盟科技再度入圍，連續(xù)兩年被列為代表供應(yīng)商。

　　Gartner 將SOAR定義為“安全編排、自動(dòng)化和響應(yīng)(SOAR)解決方案在單個(gè)平臺(tái)中結(jié)合了事件響應(yīng)、編排和自動(dòng)化以及威脅情報(bào)(TI)管理功能。SOAR工具還用于記錄和實(shí)現(xiàn)流程(又名劇本、工作流和流程);支持安全事件管理;并將基于機(jī)器的輔助應(yīng)用于人類安全分析師和操作員?！蓖瑫r(shí)，Gartner在市場(chǎng)指南中提到，“SOAR解決方案主要用于以下維度：提高安全運(yùn)營(yíng)效率;在安全流程中創(chuàng)造更多的一致性;改進(jìn)威脅預(yù)防、檢測(cè)和響應(yīng);提高優(yōu)先級(jí);讓威脅情報(bào)有效運(yùn)轉(zhuǎn)。”

　　我們認(rèn)為在選擇SOAR解決方案時(shí)需要考慮的建議要求：支持跨多個(gè)現(xiàn)有點(diǎn)解決方案市場(chǎng)的廣泛安全產(chǎn)品(例如端點(diǎn)保護(hù)平臺(tái)、防火墻、入侵檢測(cè)和防御系統(tǒng)[IDPSs]、安全信息和事件管理(SIEM)、安全電子郵件網(wǎng)關(guān)、SSE和漏洞評(píng)估技術(shù));支持進(jìn)行事件關(guān)聯(lián)和聚合的能力，以更好地充實(shí)事件，以改進(jìn)安全操作流程和報(bào)警。實(shí)現(xiàn)這一點(diǎn)的一個(gè)關(guān)鍵方法是通過(guò)實(shí)施低代碼“劇本”，它允許對(duì)流程進(jìn)行編碼，可以應(yīng)用自動(dòng)化來(lái)提高一致性和節(jié)省時(shí)間，能夠部署在本地或作為云解決方案(如SaaS);支持從第三方來(lái)源攝取各種各樣的來(lái)源和格式的TI;支持開(kāi)源、行業(yè)和政府(信息共享和分析中心[ISACs]和計(jì)算機(jī)應(yīng)急響應(yīng)小組[CERTs])和商業(yè)提供商。與IT運(yùn)營(yíng)解決方案進(jìn)行雙向集成， 如用于案例管理的票務(wù)系統(tǒng)和協(xié)作工具，如用于更好的實(shí)時(shí)通信的消息應(yīng)用程序。

　　綠盟科技智能安全運(yùn)營(yíng)管理平臺(tái)

　　NSFOCUS ISOP

　　NSFOCUS ISOP的SOAR能力區(qū)別于其他產(chǎn)品的關(guān)鍵能力是系統(tǒng)架構(gòu)開(kāi)放化和部署靈活化、安全能力編排生態(tài)化、安全流程高度定制化、安全分析響應(yīng)智能化、案例知識(shí)實(shí)戰(zhàn)化。最為關(guān)鍵的是AISecOps創(chuàng)新技術(shù)能力已在多個(gè)行業(yè)客戶處進(jìn)行了深度實(shí)踐使用。通過(guò)AI輔助的智能化研判覆蓋率高達(dá)96.7%，大幅提升了運(yùn)營(yíng)效率;通過(guò)AI技術(shù)的運(yùn)用，實(shí)現(xiàn)了海量告警的降噪和自動(dòng)化研判分析;通過(guò)智能分診推薦能力，實(shí)現(xiàn)場(chǎng)景和模型的升級(jí)，與SOAR組合為客戶提供更智能的交互運(yùn)營(yíng)手段。以事件響應(yīng)為必備應(yīng)用場(chǎng)景，利用XDR技術(shù)和綠盟豐富的威脅情報(bào)數(shù)據(jù)，助力安全運(yùn)營(yíng)人員高效開(kāi)展各項(xiàng)安全運(yùn)營(yíng)工作，提升安全運(yùn)營(yíng)的實(shí)戰(zhàn)化水平。

圖1 SOAR可視化編排案例示例

　　此外，我們也注意到隨著自動(dòng)化和智能技術(shù)的發(fā)展，網(wǎng)絡(luò)安全防守方未來(lái)將面臨更加嚴(yán)峻的挑戰(zhàn)。因此，我們也在不斷探索更多自動(dòng)化、智能化、實(shí)戰(zhàn)化的安全應(yīng)用場(chǎng)景，目前ISOP已完成近百個(gè)國(guó)內(nèi)外主流安全產(chǎn)品能力對(duì)接，積累了上百種典型的安全劇本場(chǎng)景，覆蓋安全事件響應(yīng)閉環(huán)、安全分析取證調(diào)查、安全評(píng)估檢查等實(shí)際業(yè)務(wù)使用場(chǎng)景。通過(guò)了上千個(gè)客戶生產(chǎn)或測(cè)試環(huán)境檢驗(yàn)，能夠靈活兼容各類云化部署環(huán)境和獨(dú)立部署應(yīng)用環(huán)境。

圖2 安全應(yīng)用商城示例

　　未來(lái)，大語(yǔ)言模型技術(shù)也將會(huì)對(duì)SOAR的自動(dòng)化效率提升和工具開(kāi)放化提供更多便利。NSFOCUS ISOP在數(shù)據(jù)處理、風(fēng)險(xiǎn)分析、運(yùn)營(yíng)效率和知識(shí)提供等應(yīng)用場(chǎng)景進(jìn)行了大語(yǔ)言模型技術(shù)創(chuàng)新研究和實(shí)踐場(chǎng)景的思考。通過(guò)大語(yǔ)言模型技術(shù)的使用對(duì)于數(shù)據(jù)接入和處理過(guò)程中的自動(dòng)特征識(shí)別，定義，歸類將更便捷。同時(shí)也可完成多源數(shù)據(jù)(漏洞、資產(chǎn)、威脅、應(yīng)用、系統(tǒng)等)的聚合分析應(yīng)用，識(shí)別傳統(tǒng)檢測(cè)規(guī)則識(shí)別不到的未知風(fēng)險(xiǎn)。借助大語(yǔ)言模型也可以為運(yùn)營(yíng)人員提供啟發(fā)式的分析，處置建議，并生成分析報(bào)告。引導(dǎo)和幫助運(yùn)營(yíng)人員針對(duì)性的分析處置，大幅度提高運(yùn)營(yíng)效率。也可以通過(guò)大語(yǔ)言模型為客戶提供持續(xù)性的安全知識(shí)及建議，提升客戶安全人員水平。大語(yǔ)言模型技術(shù)的不斷深化運(yùn)用，有效減少了在威脅分析和運(yùn)營(yíng)閉環(huán)過(guò)程中的不確定性。

圖3 大語(yǔ)言模型實(shí)踐思路

　　未來(lái)，綠盟科技將一如既往以創(chuàng)新精神、精湛技術(shù)、優(yōu)質(zhì)產(chǎn)品、專業(yè)服務(wù)，在全球范圍內(nèi)，提供基于自身核心競(jìng)爭(zhēng)力的企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品、安全解決方案和安全運(yùn)營(yíng)服務(wù)，成為備受用戶信賴的網(wǎng)絡(luò)安全公司。借助創(chuàng)新技術(shù)如大語(yǔ)言模型、AISecOps在確保網(wǎng)絡(luò)安全方面發(fā)揮更加重要的作用，為安全運(yùn)營(yíng)和安全管理者應(yīng)對(duì)不斷變化的技術(shù)和安全威脅提供支持。新時(shí)代的革命已經(jīng)到來(lái)，我們應(yīng)積極擁抱這一變革，以實(shí)現(xiàn)更低成本、更高質(zhì)量和更高安全性的發(fā)展目標(biāo)。