隨著網(wǎng)絡(luò)安全攻防對(duì)抗的日趨激烈，簡(jiǎn)單的網(wǎng)絡(luò)安全防范和阻止策略已不足以應(yīng)對(duì)現(xiàn)有的網(wǎng)絡(luò)攻擊，企業(yè)和組織更加注重在網(wǎng)絡(luò)安全檢測(cè)與響應(yīng)方面的防范工作，即在網(wǎng)絡(luò)已經(jīng)遭受攻擊的假定前提下構(gòu)建集檢測(cè)、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。

由此，安全編排自動(dòng)化與響應(yīng)（以下簡(jiǎn)稱“SOAR”）應(yīng)運(yùn)而生，Gartner將SOAR定義為“安全事件響應(yīng)平臺(tái)、安全編排與自動(dòng)化以及威脅情報(bào)的集合，通過安全運(yùn)行任務(wù)中技術(shù)性和非技術(shù)操作的（部分）自動(dòng)化，助力提升安全運(yùn)行人員的工作效率”。

天融信SOAR解決方案

基于在網(wǎng)絡(luò)安全領(lǐng)域的持續(xù)積累，天融信圍繞安全編排與自動(dòng)化技術(shù)展開設(shè)計(jì)，將多方安全能力串聯(lián)成一套針對(duì)安全運(yùn)營(yíng)過程自動(dòng)化響應(yīng)的解決方案。該方案以天融信數(shù)據(jù)中臺(tái)為底層支撐平臺(tái)，通過對(duì)數(shù)據(jù)的采集、建模、分析、計(jì)算，以SOAR為核心技術(shù)手段，實(shí)現(xiàn)終端安全、漏洞掃描、威脅情報(bào)等安全資源統(tǒng)一整合與管控，打破安全資源之間的孤島格局，進(jìn)行整體安全策略自動(dòng)化編排，統(tǒng)一向業(yè)務(wù)系統(tǒng)提供聯(lián)動(dòng)服務(wù)。

1、安全運(yùn)營(yíng)-可知、可控、可管、可查

通過協(xié)同安全防護(hù)體系，提升內(nèi)外部風(fēng)險(xiǎn)感知能力、協(xié)同安全防護(hù)能力、攻擊檢測(cè)分析能力、違規(guī)行為發(fā)現(xiàn)能力、應(yīng)急事件響應(yīng)能力和態(tài)勢(shì)感知預(yù)警能力，確保大數(shù)據(jù)全程可知、可控、可管、可查。除此之外，天融信SOAR方案將人、流程、數(shù)據(jù)、安全資源有效整合在一起，實(shí)現(xiàn)安全管理流程一體化，主要解決了失陷終端的研判與處置、復(fù)雜威脅的交互式實(shí)時(shí)調(diào)查、威脅事件的快速響應(yīng)與決策、異常行為的告警和審核等典型安全運(yùn)營(yíng)問題。

2、威脅風(fēng)險(xiǎn)-自動(dòng)化響應(yīng)編排

響應(yīng)編排可實(shí)現(xiàn)根據(jù)設(shè)定好的策略規(guī)則自動(dòng)驅(qū)動(dòng)防護(hù)設(shè)備進(jìn)行攻擊阻斷操作，在面臨多種威脅攻擊的時(shí)候，降低安全運(yùn)營(yíng)難度，提升效率。系統(tǒng)采用智能關(guān)聯(lián)分析技術(shù)從海量數(shù)據(jù)中提取安全日志，安全日志作為基礎(chǔ)數(shù)據(jù)，為場(chǎng)景分析和策略編排提供支撐。系統(tǒng)支持通過告警日志、威脅情報(bào)、漏洞等相關(guān)數(shù)據(jù)進(jìn)行組合場(chǎng)景編排，不同場(chǎng)景快速關(guān)聯(lián)控制策略及執(zhí)行設(shè)備，實(shí)現(xiàn)自動(dòng)化威脅處置能力，大大提升威脅處置效率。

3、劇本管理-可視化編程

通過預(yù)定義的工作流（Workflow）和劇本（Playbook）來標(biāo)準(zhǔn)化事故的調(diào)查處置流程，提升威脅響應(yīng)的自動(dòng)化程度和執(zhí)行效率。以界面化的圖形拖拽實(shí)現(xiàn)安全劇本流程的可視化編排，可自定義編排動(dòng)作聯(lián)動(dòng)的具體安全資源，并提供編排流程需要的內(nèi)置動(dòng)作，如人工審批、定時(shí)執(zhí)行、循環(huán)判斷等，輔助安全人員建立合理的工作流程。

方案價(jià)值

● 智能化滿足合規(guī)要求。通過豐富的模型編排、場(chǎng)景設(shè)置對(duì)安全事件做出高效的發(fā)掘和應(yīng)對(duì)。智能化的模型編排、算法優(yōu)化使數(shù)據(jù)保護(hù)符合多場(chǎng)景的應(yīng)用，大大提升入侵檢測(cè)處置的能力，滿足法律法規(guī)要求。

● 自動(dòng)化降低企業(yè)成本。通過引入自動(dòng)化手段提升效率，減少了應(yīng)急響應(yīng)人員的投入。SOAR的核心目標(biāo)是為安全運(yùn)營(yíng)人員提供機(jī)器輔助和自動(dòng)化，以提升安全運(yùn)維人員的工作效率，而這種自動(dòng)化是通過對(duì)流程的編排（即劇本）來實(shí)現(xiàn)。

● 協(xié)同化提升實(shí)戰(zhàn)能力。SOAR在現(xiàn)有以數(shù)據(jù)為中心的安全運(yùn)營(yíng)框架基礎(chǔ)之上增加了一個(gè)以流程為中心的編排層，進(jìn)一步完善豐富了安全運(yùn)營(yíng)的體系，將人、流程、技術(shù)和工具整合，提升了安全運(yùn)營(yíng)的實(shí)戰(zhàn)化水平。

天融信SOAR技術(shù)可與大數(shù)據(jù)分析平臺(tái)等產(chǎn)品組合使用，豐富SOAR系統(tǒng)能力，實(shí)現(xiàn)自動(dòng)化分析處置、實(shí)時(shí)策略下發(fā)、聯(lián)動(dòng)設(shè)備響應(yīng)、數(shù)據(jù)交互與業(yè)務(wù)同步，增強(qiáng)決策能力。結(jié)合天融信在大數(shù)據(jù)分析方面的技術(shù)積累與優(yōu)勢(shì)，SOAR技術(shù)的應(yīng)用解決了失陷終端的研判與處置、復(fù)雜威脅的交互式實(shí)時(shí)調(diào)查等典型安全運(yùn)營(yíng)問題，進(jìn)一步推動(dòng)自動(dòng)化安全運(yùn)營(yíng)能力的落地，極大地提高了應(yīng)急響應(yīng)能力與安全運(yùn)營(yíng)效率。

基于在網(wǎng)絡(luò)安全服務(wù)領(lǐng)域長(zhǎng)期的技術(shù)積累、優(yōu)異的自動(dòng)化安全運(yùn)營(yíng)能力，以及智能化模型編排能力，天融信SOAR方案實(shí)力入編《企業(yè)安全運(yùn)營(yíng)自動(dòng)化（SOAR）應(yīng)用指南》代表性安全廠商方案，獲權(quán)威機(jī)構(gòu)高度認(rèn)可。據(jù)報(bào)告顯示，國(guó)產(chǎn)SOAR產(chǎn)品已經(jīng)逐漸成熟完善，國(guó)內(nèi)大型用戶對(duì)SOAR的認(rèn)知度和接受度也明顯提升，預(yù)計(jì)未來三年，SOAR產(chǎn)品市場(chǎng)將快速發(fā)展。

天融信作為國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)，深耕網(wǎng)絡(luò)安全領(lǐng)域27年，緊跟國(guó)家戰(zhàn)略發(fā)展。未來，天融信將進(jìn)一步深耕SOAR技術(shù)，實(shí)現(xiàn)將安全數(shù)據(jù)、安全事件案例、標(biāo)準(zhǔn)化工作流和人工分析相結(jié)合，使組織能夠?qū)嵤?fù)雜的縱深防御能力，從而推動(dòng)安全運(yùn)營(yíng)效率更高，更進(jìn)一步幫助安全團(tuán)隊(duì)將無窮無盡的安全告警迅速收斂形成有效的安全事件、盡可能地自動(dòng)化處理安全事件。