之前我在自己的一篇小小筆記文章” 資安小名詞 SIEM 與 SOAR”中提到SOAR跟SIEM是什麼,簡單說SIEM就是透過Log分析找出可能發生問題的資安威脅並發出Alert的一個過程,而SOAR是幫助SIEM將過程自動化以因應愈來愈頻繁的資安攻擊還有挑戰。
只是光只有自動化SIEM的過程可能不夠,更進一步的我們可以把SOAR工具提升層級,也就是加入安全智能,即是自動化安全智能(Automate Security with Intelligence),讓公司的安全團隊可以有更多餘力把焦點放在更高價值的安全研究。
在Recorded Future 的這一篇介紹短文: ” Beyond SOAR: 5 Ways to Automate Security With Intelligence” 便提出了五個Automate Security with Intelligence 的好處,以回應更多的Security Treats。
Automate Intelligence Collection and Analysis
With natural language processing and machine learning, it becomes possible to scale collection and automatically analyze data across an incredibly broad range of open, closed, and technical sources.
NLP and ML 使得廣泛跨來源收集與自動分析資安事件所需的元素資料變得可能,讓自動化研究Threat跟IOC(危害指標) 的任務可以實現。
Automate Decision-Making With Confidence
Automate Intelligence 可以自動的 分類 資安的Alert,理解哪些是高優先的警報並且可以做到自動回溯資料來源進行更深度的研究分析。
Automate Intelligence in Existing Workflows
By integrating security intelligence directly into existing tools, security teams can automatically access the rich context required to make better, faster decisions — without disrupting workflow.
自動化安全智能程序是可以直接導入現有的資訊安全流程以及與現有工具協同工作的。
Automate Proactive and Dynamic Blocking
Using a solution that delivers high-confidence indicators that are updated in real time enables organizations to integrate the indicators directly into security controls to block threats before they enter the environment .
Automate Intelligence 可以在資安威脅侵入生產環境之前主動阻斷。做到比攻擊防禦還要有效的攻擊預防。
Automate Alerts
By using a tool that enables automatic alerting based on customized watch lists for groups of people, places, and organizations of interest, security teams can find out immediately when their company, subsidiary, and product names are mentioned, or infrastructure is at risk.
Infra是否處在某些被攻擊者攻擊的風險中,然後發出警告讓安全團隊可以快速在被特定對象威脅鎖定前反應。
綜上所述,SOAR其實只是加速SIEM的技術,但是要做到更多防禦且讓安全團隊聚焦在更多高價值的安全任務的話,還需要把自動化安全智能( Automate Security with Intelligence )導入整個資安威脅發現程序之中,讓資安警報更即使且更可靠,達到真正的防範未然。
2021年1月27日星期三
留言列表
