前言
很多企业为了加强企业安全防御建设,采购了大量安全设备,但由于设备缺少联动导致利用价值低,同时在企业实际安全运营工作开展过程中还是会普遍面临以下难题和挑战。
**如何能够快速利用现有资源实现安全防御能力价值最大化呢?
**
锦行团队通过多年运营实践,助力企业客户在安全运营中构建主动防御能力和智能化安全运营机制,可通过安全编排与自动化响应平台(以下简称“SOAR平台”),实现不同安全设备统一纳管,加快安全事件闭环效率并降低对运营人员的依赖。
# 平台介绍
**我们联合某能源客户共同实现“遁甲-安全智能运营平台”落地使用,并在内部攻防演练中得到较好的实践和反馈,极大提升了运营效率.
**
1、提升主动防御能力
通过部署蜜罐实现对攻击行为的主动诱捕,构建仿真蜜网,诱捕攻击行为,快速告警并记录攻击过程数据,实现对攻击行为的溯源取证,提升企业主动防御能力。
当蜜罐检测到攻击活动时,可以立即触发SOAR平台的自动化响应,例如,SOAR可以自动调整防火墙的规则,隔离可疑流量,防止威胁扩散至真实系统。
2、提升智能化运营机制
通过SOAR平台实现威胁发现、阻止、检测和响应于一体的全新智能化安全运营机制。
整合不同来源的安全日志数据,进行统一的聚合分析和研判,实时发现安全威胁和异常行为。
统一纳管企业内外部的安全工具、工单系统、通讯工具等资源,形成联动,实现智能化的安全运营工作。
实时监控安全事件,通过编排和执行安全剧本的方式,使得很多安全任务基于预定义的剧本,自动化快速响应和处置。
支持多地、多中心的人员跨团队快速协同响应,加快协同处置效率,极大降低沟通成本。
通过对安全设备纳管及策略配置,实现全天候自动化风险感知。
# 平台价值
1、提升体系化安全防御能力
SOAR平台通过统一纳管多个安全设备,可以实现安全事件的数据共享和协同处置工作,降低人工干预的需求和错误率,提高企业整体的体系化安全防御能力。
通过SOAR平台的协调,蜜罐和防火墙可以动态调整其资源分配,如当检测到恶意攻击事件时,可以自动调度防火墙增加过滤规则,同时,蜜罐也可以模拟更多的诱捕资源,混淆攻击目标,延缓对真实资产攻击。
通过SOAR平台对接收的安全事件进行分析,识别出最紧急和最严重的威胁,并自动将这些事件优先处理,确保安全团队关注的重点始终在高价值目标上。如SOAR平台能够自动接收蜜罐的警报,根据预定义的剧本启动响应流程,调度防火墙设备对恶意IP进行封堵,减少人为干预的时间和误操作,极大减轻了安全团队的工作负担。
通过SOAR平台的剧本调度,蜜罐和防火墙可动态调整其资源分配,如当检测到大规模的攻击时,可以自动增加防火墙的过滤规则,同时,蜜罐可以模拟更多的虚假资源来分散攻击者的注意力。
通过蜜罐、态势感知及其他日志设备收集的数据,可以用来训练SOAR的智能分析模型,使其更准确地识别和分类安全事件。同时,防火墙的配置也可以根据历史攻击模式进行优化,实现安全设备持续优化的闭环管理。
SOAR在安全运营中扮演着核心角色,而与蜜罐、防火墙、WAF等安全设备的联动使用,进一步增强了企业的整体安全防御能力,提升了威胁检测和响应的效率。
推 荐 阅 读
【喜报】锦行科技荣获国家信息安全漏洞库“年度漏洞消控优秀贡献奖”
