近日，Gartner發(fā)布了2023年Market Guide for Security Orchestration,Automation and Response Solutions報(bào)告(《安全編排自動(dòng)化與響應(yīng)(SOAR)市場指南》)，綠盟科技再度入圍，連續(xù)兩年被列為代表供應(yīng)商。

Gartner 將SOAR定義為“安全編排、自動(dòng)化和響應(yīng)(SOAR)解決方案在單個(gè)平臺(tái)中結(jié)合了事件響應(yīng)、編排和自動(dòng)化以及威脅情報(bào)(TI)管理功能。SOAR工具還用于記錄和實(shí)現(xiàn)流程(又名劇本、工作流和流程);支持安全事件管理;并將基于機(jī)器的輔助應(yīng)用于人類安全分析師和操作員。”同時(shí)，Gartner在市場指南中提到，“SOAR解決方案主要用于以下維度：提高安全運(yùn)營效率;在安全流程中創(chuàng)造更多的一致性;改進(jìn)威脅預(yù)防、檢測和響應(yīng);提高優(yōu)先級;讓威脅情報(bào)有效運(yùn)轉(zhuǎn)。”

我們認(rèn)為在選擇SOAR解決方案時(shí)需要考慮的建議要求：支持跨多個(gè)現(xiàn)有點(diǎn)解決方案市場的廣泛安全產(chǎn)品(例如端點(diǎn)保護(hù)平臺(tái)、防火墻、入侵檢測和防御系統(tǒng)[IDPSs]、安全信息和事件管理(SIEM)、安全電子郵件網(wǎng)關(guān)、SSE和漏洞評估技術(shù));支持進(jìn)行事件關(guān)聯(lián)和聚合的能力，以更好地充實(shí)事件，以改進(jìn)安全操作流程和報(bào)警。實(shí)現(xiàn)這一點(diǎn)的一個(gè)關(guān)鍵方法是通過實(shí)施低代碼“劇本”，它允許對流程進(jìn)行編碼，可以應(yīng)用自動(dòng)化來提高一致性和節(jié)省時(shí)間，能夠部署在本地或作為云解決方案(如SaaS);支持從第三方來源攝取各種各樣的來源和格式的TI;支持開源、行業(yè)和政府(信息共享和分析中心[ISACs]和計(jì)算機(jī)應(yīng)急響應(yīng)小組[CERTs])和商業(yè)提供商。與IT運(yùn)營解決方案進(jìn)行雙向集成， 如用于案例管理的票務(wù)系統(tǒng)和協(xié)作工具，如用于更好的實(shí)時(shí)通信的消息應(yīng)用程序。

綠盟科技智能安全運(yùn)營管理平臺(tái)

NSFOCUS ISOP

NSFOCUS ISOP的SOAR能力區(qū)別于其他產(chǎn)品的關(guān)鍵能力是系統(tǒng)架構(gòu)開放化和部署靈活化、安全能力編排生態(tài)化、安全流程高度定制化、安全分析響應(yīng)智能化、案例知識實(shí)戰(zhàn)化。最為關(guān)鍵的是AISecOps創(chuàng)新技術(shù)能力已在多個(gè)行業(yè)客戶處進(jìn)行了深度實(shí)踐使用。通過AI輔助的智能化研判覆蓋率高達(dá)96.7%，大幅提升了運(yùn)營效率;通過AI技術(shù)的運(yùn)用，實(shí)現(xiàn)了海量告警的降噪和自動(dòng)化研判分析;通過智能分診推薦能力，實(shí)現(xiàn)場景和模型的升級，與SOAR組合為客戶提供更智能的交互運(yùn)營手段。以事件響應(yīng)為必備應(yīng)用場景，利用XDR技術(shù)和綠盟豐富的威脅情報(bào)數(shù)據(jù)，助力安全運(yùn)營人員高效開展各項(xiàng)安全運(yùn)營工作，提升安全運(yùn)營的實(shí)戰(zhàn)化水平。

圖1 SOAR可視化編排案例示例

此外，我們也注意到隨著自動(dòng)化和智能技術(shù)的發(fā)展，網(wǎng)絡(luò)安全防守方未來將面臨更加嚴(yán)峻的挑戰(zhàn)。因此，我們也在不斷探索更多自動(dòng)化、智能化、實(shí)戰(zhàn)化的安全應(yīng)用場景，目前ISOP已完成近百個(gè)國內(nèi)外主流安全產(chǎn)品能力對接，積累了上百種典型的安全劇本場景，覆蓋安全事件響應(yīng)閉環(huán)、安全分析取證調(diào)查、安全評估檢查等實(shí)際業(yè)務(wù)使用場景。通過了上千個(gè)客戶生產(chǎn)或測試環(huán)境檢驗(yàn)，能夠靈活兼容各類云化部署環(huán)境和獨(dú)立部署應(yīng)用環(huán)境。

圖2 安全應(yīng)用商城示例

未來，大語言模型技術(shù)也將會(huì)對SOAR的自動(dòng)化效率提升和工具開放化提供更多便利。NSFOCUS ISOP在數(shù)據(jù)處理、風(fēng)險(xiǎn)分析、運(yùn)營效率和知識提供等應(yīng)用場景進(jìn)行了大語言模型技術(shù)創(chuàng)新研究和實(shí)踐場景的思考。通過大語言模型技術(shù)的使用對于數(shù)據(jù)接入和處理過程中的自動(dòng)特征識別，定義，歸類將更便捷。同時(shí)也可完成多源數(shù)據(jù)(漏洞、資產(chǎn)、威脅、應(yīng)用、系統(tǒng)等)的聚合分析應(yīng)用，識別傳統(tǒng)檢測規(guī)則識別不到的未知風(fēng)險(xiǎn)。借助大語言模型也可以為運(yùn)營人員提供啟發(fā)式的分析，處置建議，并生成分析報(bào)告。引導(dǎo)和幫助運(yùn)營人員針對性的分析處置，大幅度提高運(yùn)營效率。也可以通過大語言模型為客戶提供持續(xù)性的安全知識及建議，提升客戶安全人員水平。大語言模型技術(shù)的不斷深化運(yùn)用，有效減少了在威脅分析和運(yùn)營閉環(huán)過程中的不確定性。

圖3 大語言模型實(shí)踐思路

未來，綠盟科技將一如既往以創(chuàng)新精神、精湛技術(shù)、優(yōu)質(zhì)產(chǎn)品、專業(yè)服務(wù)，在全球范圍內(nèi)，提供基于自身核心競爭力的企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品、安全解決方案和安全運(yùn)營服務(wù)，成為備受用戶信賴的網(wǎng)絡(luò)安全公司。借助創(chuàng)新技術(shù)如大語言模型、AISecOps在確保網(wǎng)絡(luò)安全方面發(fā)揮更加重要的作用，為安全運(yùn)營和安全管理者應(yīng)對不斷變化的技術(shù)和安全威脅提供支持。新時(shí)代的革命已經(jīng)到來，我們應(yīng)積極擁抱這一變革，以實(shí)現(xiàn)更低成本、更高質(zhì)量和更高安全性的發(fā)展目標(biāo)。

參考文獻(xiàn)

[1] Gartner, Market Guide for Security Orchestration，Automation and Response Solutions，Craig Lawsonet al., 23 June 2023

說明：Gartner未在其報(bào)告中支持任何廠商、產(chǎn)品或服務(wù)，也并不建議科技客戶只選擇最高評分或其它指定的廠商。Gartner報(bào)告含有其研究組織的意見，但該研究意見不應(yīng)被視作事實(shí)陳述。針對此報(bào)告，Gartner不承擔(dān)相關(guān)明示或暗示的保證，包括任何適銷性或適用于特定目的的保證。Gartner是Gartner有限公司和/或其附屬公司在美國及全球的注冊商標(biāo)和服務(wù)商標(biāo)，經(jīng)許可在此使用，保留所有權(quán)利。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）