近日，Gartner發(fā)布了2023年Market Guide for Security Orchestration,Automation and Response Solutions報(bào)告(《安全編排自動(dòng)化與響應(yīng)(SOAR)市場指南》)，綠盟科技再度入圍，連續(xù)兩年被列為代表供應(yīng)商。

　　Gartner 將SOAR定義為“安全編排、自動(dòng)化和響應(yīng)(SOAR)解決方案在單個(gè)平臺(tái)中結(jié)合了事件響應(yīng)、編排和自動(dòng)化以及威脅情報(bào)(TI)管理功能。SOAR工具還用于記錄和實(shí)現(xiàn)流程(又名劇本、工作流和流程);支持安全事件管理;并將基于機(jī)器的輔助應(yīng)用于人類安全分析師和操作員?！蓖瑫r(shí)，Gartner在市場指南中提到，“SOAR解決方案主要用于以下維度：提高安全運(yùn)營效率;在安全流程中創(chuàng)造更多的一致性;改進(jìn)威脅預(yù)防、檢測和響應(yīng);提高優(yōu)先級;讓威脅情報(bào)有效運(yùn)轉(zhuǎn)?！?/p>

　　我們認(rèn)為在選擇SOAR解決方案時(shí)需要考慮的建議要求：支持跨多個(gè)現(xiàn)有點(diǎn)解決方案市場的廣泛安全產(chǎn)品(例如端點(diǎn)保護(hù)平臺(tái)、防火墻、入侵檢測和防御系統(tǒng)[IDPSs]、安全信息和事件管理(SIEM)、安全電子郵件網(wǎng)關(guān)、SSE和漏洞評估技術(shù));支持進(jìn)行事件關(guān)聯(lián)和聚合的能力，以更好地充實(shí)事件，以改進(jìn)安全操作流程和報(bào)警。實(shí)現(xiàn)這一點(diǎn)的一個(gè)關(guān)鍵方法是通過實(shí)施低代碼“劇本”，它允許對流程進(jìn)行編碼，可以應(yīng)用自動(dòng)化來提高一致性和節(jié)省時(shí)間，能夠部署在本地或作為云解決方案(如SaaS);支持從第三方來源攝取各種各樣的來源和格式的TI;支持開源、行業(yè)和政府(信息共享和分析中心[ISACs]和計(jì)算機(jī)應(yīng)急響應(yīng)小組[CERTs])和商業(yè)提供商。與IT運(yùn)營解決方案進(jìn)行雙向集成， 如用于案例管理的票務(wù)系統(tǒng)和協(xié)作工具，如用于更好的實(shí)時(shí)通信的消息應(yīng)用程序。

　　綠盟科技智能安全運(yùn)營管理平臺(tái)

　　NSFOCUS ISOP

　　NSFOCUS ISOP的SOAR能力區(qū)別于其他產(chǎn)品的關(guān)鍵能力是系統(tǒng)架構(gòu)開放化和部署靈活化、安全能力編排生態(tài)化、安全流程高度定制化、安全分析響應(yīng)智能化、案例知識實(shí)戰(zhàn)化。最為關(guān)鍵的是AISecOps創(chuàng)新技術(shù)能力已在多個(gè)行業(yè)客戶處進(jìn)行了深度實(shí)踐使用。通過AI輔助的智能化研判覆蓋率高達(dá)96.7%，大幅提升了運(yùn)營效率;通過AI技術(shù)的運(yùn)用，實(shí)現(xiàn)了海量告警的降噪和自動(dòng)化研判分析;通過智能分診推薦能力，實(shí)現(xiàn)場景和模型的升級，與SOAR組合為客戶提供更智能的交互運(yùn)營手段。以事件響應(yīng)為必備應(yīng)用場景，利用XDR技術(shù)和綠盟豐富的威脅情報(bào)數(shù)據(jù)，助力安全運(yùn)營人員高效開展各項(xiàng)安全運(yùn)營工作，提升安全運(yùn)營的實(shí)戰(zhàn)化水平。

圖1 SOAR可視化編排案例示例

　　此外，我們也注意到隨著自動(dòng)化和智能技術(shù)的發(fā)展，網(wǎng)絡(luò)安全防守方未來將面臨更加嚴(yán)峻的挑戰(zhàn)。因此，我們也在不斷探索更多自動(dòng)化、智能化、實(shí)戰(zhàn)化的安全應(yīng)用場景，目前ISOP已完成近百個(gè)國內(nèi)外主流安全產(chǎn)品能力對接，積累了上百種典型的安全劇本場景，覆蓋安全事件響應(yīng)閉環(huán)、安全分析取證調(diào)查、安全評估檢查等實(shí)際業(yè)務(wù)使用場景。通過了上千個(gè)客戶生產(chǎn)或測試環(huán)境檢驗(yàn)，能夠靈活兼容各類云化部署環(huán)境和獨(dú)立部署應(yīng)用環(huán)境。

圖2 安全應(yīng)用商城示例

　　未來，大語言模型技術(shù)也將會(huì)對SOAR的自動(dòng)化效率提升和工具開放化提供更多便利。NSFOCUS ISOP在數(shù)據(jù)處理、風(fēng)險(xiǎn)分析、運(yùn)營效率和知識提供等應(yīng)用場景進(jìn)行了大語言模型技術(shù)創(chuàng)新研究和實(shí)踐場景的思考。通過大語言模型技術(shù)的使用對于數(shù)據(jù)接入和處理過程中的自動(dòng)特征識別，定義，歸類將更便捷。同時(shí)也可完成多源數(shù)據(jù)(漏洞、資產(chǎn)、威脅、應(yīng)用、系統(tǒng)等)的聚合分析應(yīng)用，識別傳統(tǒng)檢測規(guī)則識別不到的未知風(fēng)險(xiǎn)。借助大語言模型也可以為運(yùn)營人員提供啟發(fā)式的分析，處置建議，并生成分析報(bào)告。引導(dǎo)和幫助運(yùn)營人員針對性的分析處置，大幅度提高運(yùn)營效率。也可以通過大語言模型為客戶提供持續(xù)性的安全知識及建議，提升客戶安全人員水平。大語言模型技術(shù)的不斷深化運(yùn)用，有效減少了在威脅分析和運(yùn)營閉環(huán)過程中的不確定性。

圖3 大語言模型實(shí)踐思路

　　未來，綠盟科技將一如既往以創(chuàng)新精神、精湛技術(shù)、優(yōu)質(zhì)產(chǎn)品、專業(yè)服務(wù)，在全球范圍內(nèi)，提供基于自身核心競爭力的企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品、安全解決方案和安全運(yùn)營服務(wù)，成為備受用戶信賴的網(wǎng)絡(luò)安全公司。借助創(chuàng)新技術(shù)如大語言模型、AISecOps在確保網(wǎng)絡(luò)安全方面發(fā)揮更加重要的作用，為安全運(yùn)營和安全管理者應(yīng)對不斷變化的技術(shù)和安全威脅提供支持。新時(shí)代的革命已經(jīng)到來，我們應(yīng)積極擁抱這一變革，以實(shí)現(xiàn)更低成本、更高質(zhì)量和更高安全性的發(fā)展目標(biāo)。