众里数码

苏州众里数码半导体行业信息安全专家

服务热线:18625216903
众里成立8大社群,1000+CIO人才构建行业生态链
如何基于SOAR实现数字化网络安全
2023-03-01

本文我们将从以下几个方面来为您介绍 如何在30个工作日内,基于SOAR去实现数字化网络安全。

  1. 方向评估
  2. 调研分析
  3. 咨询设计
  4. 实施运营
  5. 总结优化

方向评估

首先第一步我们要明确组织的安全运营方法,在做安全工作的时候,就怕我们知道要做,但是没有一个明确组织的安全运营方法。安全工作需要遵循PDCA的基本思路,我们一些甲方企业,在进行数字安全运营的时候,不仅需要一定的安全知识,还需要一个有一定安全能力的合作伙伴,或是供应商,或是自身的安全团队,同时需要一些安全类的产品。在具备了这些条件后,我们就需要做一些常态化的演练,来检测我们的安全团队能否及时响应。

调研分析

接下来到第二步,我们需要评估我们现有的安全资源和需求,在做我们前期的评估的时候,我们需要输出一些服务调查咨询,需要输出一些当前的安全运营流程的一个梳理,我们很多时候遇到的安全事件,其实处置起来都是为了应急反应。那在出现一个安全事件或者安全告警之后,我们企业自身的是否有一个标准的安全运营流程呢?这是很 重要的,在我们碰到的很多客户里面,并没有发现一个很成熟的标准或者体系,所以企业在前期应该找一家专业的安全咨询公司,进行一个前期的专业安全咨询服务。


这就是我们输出的一个前期的资产梳理到最后的攻防演练的全流程的一个安全成熟度评估的调研表。

咨询设计

接下来第三步就是实施之前的准备,设计针对性的运营方案。就是你的资产我了解,但是我又希望你能够通过自动化的手段提升你的效率,或者更好的处置你当前的安全事件。

我们碰到过许多实际场景或者说实际的甲方客户企业,他们自身会存在一个困惑,就是我现在手上有那么多的安全产品,很多时候都是基于单点的产品来购买,是否有一个产品能将这些的产品联动起来形成一个,类似于大脑中枢连接神经的这样一个概念。如果有一个产品能够扮演这样的角色,那我们就不需要去一个个单点的登陆,对单个安全产品高频次的访问了。我只需要登陆一套产品,就可以去联动到我购买的多个安全产品当中去。所以在咨询设计的过程中,我们强调说,我们需要给他做一些针对他自身业务特点的一些安全运营方案。

我们之前也碰到过一些像国字头的大运营商的这种客户,我们在从POC测试开始,再到实施过程中,发现他们其实自己也会困惑于说“他也不知道怎么样给他设计这个安全运营方案是比较合理的”,他自身有去做了一些设计,去汇报给他的领导,去找一些他自己的内部的安全运营流程的实践,发现出现了很多问题。

比如说他之前买了某某厂家的SIEM,可他每天处理安全报警都处理不过来,他自己也无法很好的分辨中间的安全事件中,哪些是真正的安全威胁,哪些是误报,哪些是伪数据。他上了一些网络安全边界的终端防护的一些设备,依然是由于他的基线配置不正确或者说他的一个节点覆盖面过广,他的人员支撑不过来,造成一些单节点的遗漏,没有做到立体化的防护。那它整体的安全边界设备,中间都是孤立的一个单节点的安全设备的加固,并没有形成一套整体的安全运营方案和体系,所以说我们强调在前期,我们将咨询设计做重做细做灵活,为我们后面实施SOAR这个产品,将它的安全中枢神经大脑的串联做好铺垫。

这是一个我们最常见的梳理的一个基本拓库,从我们底层的开始,做一些区域上面的划分,从T1、T2到T3是我们传统的一个网络层面的概念。从非信任到信任区域,包括大家很多企业里面会设置专门的DMZ区。我们一直会强调在做咨询设计的时候,这个拓库一定要出来,这个拓库决定了你后面不管是实施时的一些网络边界上的策略下发,还是最后这个数据通路上面的问题,都能够给我们带来很大的帮助。

实施运营

后面就是我们的一个实施运营的环节了,那有了科学的设计之后,我们在具体实施这些安全运营活动,就会显得游刃有余。

比如说我们传统的杀伤链的一个BAS评估辅助,用了自动化攻击机器人、自动化渗透机器人来去验证,我们当前有效的杀伤链,能否打穿我当前的安全防御体系。

我们通过这个系统,就可以天天给自己的安全运营体系做体检,可以天天对我们的安全运营的水平做评估。我当前的安全设备到底有哪些问题?我可以每天每周每两周的去做测试,可以形成我们企业自己的一个特色的有效的频率,去检测当前的一个健康程度。

那再比如说这个Usercase,这些都是基于SOAR的这样一个平台,有一个很好的协同作战室,去响应我们的一个人员事件任务的分工,让大家在遇到事件的时候能够做到应急响应。

总结优化

最后就是一个总结优化,这边说到的就是安全经验数字化能力即安全运营

我们很多时候站在甲方视角去说,我作为一个防御者,我处理过哪些安全事件,处理过哪些告警。我们称之为甲方的安全运营团队,这就是我们的一个安全运营了。

但实际很多时候我们发现,在安全的这个领域里面,大家做的很多安全事情,还是一些很应急的事情。那怎么将这些经验数字化沉淀下来,那最直接的就是将能够自动化的东西,尽量自动化。这是最直观的,表现出将我们的IT手段运用到我们的实际生产当中。

我们的安全经验不应该是割裂的,如何在一个协同框架内,将不同安全人员,甚至是外聘的安全厂商的经验,进行传承、留痕,让我们的甲方企业也能够获取到,这就是我们的安全经验数字化的一个意义所在。

相关推荐
  • 2014.01.05

咨询热线

18625216903