红帽全球峰会概述
安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。
SOAR 指的是网络安全团队所使用的三大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR 一词来自分析机构 Gartner。有些安全分析师也用其他术语来描述 SOAR:IDC 将这一概念称为“安全分析、情报、响应和编排”(AIRO),而 Forrester 则使用“安全自动化和编排”(SAO)一词来描述同一功能。
SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台会监控威胁情报源并触发针对安全问题的自动响应,这样可以帮助 IT 团队快速有效地缓解众多复杂系统中的威胁。
任务自动化和编排
安全自动化是指无需人为干预即可执行安全运维任务的过程。就安全性而言,由于复杂的基础架构以及其各部分之间可能缺少集成,因此就更需要自动化。但是,我们怎么知道哪些任务要自动化呢?不妨思考以下几个问题:
- 是否属于日常任务? 是否需要定期执行?
- 任务是否异常乏味? 是否涉及需要准确完成的一系列特定操作?
- 任务是否耗时? 这一系列操作会不会占用您团队的大量时间?
只要其中有一个问题的答案为“是”,就表示自动化能够派上用场。自动化可以为您的企业带来很多积极影响,包括:减少人为错误、提高效率和速度,以及提高安全事故响应的一致性。
为什么要实现安全防护流程的自动化?
任务自动化的主要优势是可提高安全防护团队的工作效率,使团队成员能够腾出时间来完成其他工作。鉴于当前没有足够的安全防护专业人才来满足每个企业的需求,自动化可以帮助安全防护团队做更多的事情,并且速度更快,从而弥合这种人才差距。
安全防护团队必须面对大量不同的工具和产品,例如端点检测和响应(EDR)软件、防火墙以及安全信息和事件管理(SIEM)解决方案,而这些工具和产品可能并未相互集成。如果手动管理上述所有工具和产品,可能会导致问题检测和修复速度变慢、资源配置错误以及策略应用不一致,进而导致系统易受严重攻击和合规性问题的影响。自动化可以帮助简化日常运维,并从一开始就将安全防护集成到流程、应用和基础架构中,就像 DevSecOps 方法那样。
据 Ponemon Institute 研究,在 200 天或更短的时间内发现并遏制安全漏洞,可把因泄露而造成的平均损失减少 122 万美元。快速威胁检测可以降低安全漏洞的可能性并减少相关成本,但手动跨多个平台和工具进行修复会非常复杂、耗时且容易出错。
手动流程可能会延缓复杂 IT 环境中的威胁识别,而自动化安全流程可以帮助您更快地识别、验证和上报威胁,且无需人工干预。安全防护团队也可以利用自动化来缩短响应时间、并行地修复整个环境中受影响的系统。
自动化与编排之间有何区别?
编排关注的是流程,而自动化关注的是任务。安全编排是指一种连接和集成不同的安全工具和系统以简化响应工作流程的方式。通过连接工具和系统以及控制它们的流程,您可以在整个环境中实现自动化。
自动化可以简化工作流程,但作为 SOAR 最具价值的方面之一,高级别安全编排却需要人的参与。编排允许 IT 团队定义执行自动化任务的过程。安全流程的编排要靠这些团队中的人员来确定安全自动化的内容、原因和时间。
集中式威胁情报
威胁情报是指对企业资产当前和新出现的威胁的认知。许多漏洞数据库都是威胁情报的信息来源。一些参考方法(例如 CVE 列表)可以让我们更方便地在数据库与平台之间识别和共享这些漏洞。威胁情报平台会从各种信息流(Feed)中收集此类信息。SOAR 工具会利用多个威胁情报信息流来识别潜在威胁。它会将这些信息流聚合到一个统一的源中,供安全防护团队查询和用于触发自动化任务。
从企业的角度讲,SOC 是安全响应的核心,但它仍然难以与企业内的其他许多部门很好地协调和沟通。而自动化就可以充当部门之间的纽带和通用语言。应对安全威胁时,跨各个部门所有平台的自动化解决方案可以建立明确的互动渠道,从而更容易识别最紧迫的安全威胁并对其进行分类。
在 DevOps 实践中将安全防护左移
通过在开发流程中需要注意安全性的地方做出改变,文化上的转变可提高安全性。“DevOps”一词指的是加快从构思到开发,再到部署到生产环境中这一过程的方法。从前,安全防护只是特定团队的责任,在开发的最后阶段才会介入。如果开发周期长达数月甚至数年,这样做没什么问题,但是在当下,通常需要在数周内交付应用。在 DevOps 的协作框架中,安全防护是贯穿始终的共同责任,也称为“DevSecOps”。
和 DevOps 一样,DevSecOps 是一种文化模式。在 DevSecOps 思维模式下,风险管理贯穿整个开发流程。注重安全的公司往往最先采用 DevSecOps 方法,即,开发人员与安全防护团队密切合作,在开发生命周期的早期阶段实施措施,这一过程也称为“左移”。
无论文化基础如何,DevSecOps 的成功实施都依赖于自动化。这种自动化可能包括源代码控制存储库、容器镜像仓库、CI/CD 管道、API 管理以及运维管理和监控。
红帽能做些什么?
企业级开源软件采用的是可加强测试和性能调优的开发模式,通常由安全防护团队提供支持。它改进了新安全漏洞和协议的响应流程,可在就安全问题向用户发出通知时提供修复步骤。它是开源信任网络的增强版本,可确保您在 IT 安全方面永远不会孤身奋战。
借助红帽® Ansible® 自动化平台订阅,您可以利用一套精选的模块、角色和 playbook,以统一协调的方式自动化、编排和集成不同的安全防护解决方案,从而简化对企业内威胁的调查与响应。此外,您还可以使用 API、SSH、WinRM 及其他标准或现有的访问方法来集成外部应用。
Ansible 自动化平台支持从基础架构到应用的全堆栈流程,所有内容都可以通过一个层级的安全技术进行协调。安全运维团队则可以使用 Ansible 自动化平台来管理其他企业应用,例如 SOAR 解决方案。
此外,借助在开放混合云方面的专业实力,红帽能够以独特的视角实施云安全防护,从而防范网络威胁和网络攻击。采用零信任模型可以改变企业的安全防护视角并重新调整安全策略。
