前言
資安協作自動化應變(Security Orchestration, Automation, and Response,簡稱 SOAR)是一套網路安全技術,旨在幫助組織自動化處理資訊安全事件。此技術能夠整合並收集來自資安監控中心的輸入資料,如安全資訊及事件管理系統(SIEM)、網路威脅情報平台(TIP)等,以及其他安全技術發出的警告訊息。SOAR技術可以協助定義標準的事件響應流程,進行事件優先排序,並驅動相關應對活動。
組織使用 SOAR 平台來提高實體及網路安全作業的效率。SOAR 能夠讓管理者在不需人工介入的情況下,自動處理安全警告。當網路工具偵測到安全事件時,SOAR 會根據事件的性質向管理者發送警報,或執行相應的應對措施。
三部分
資安協作自動化應變(SOAR)可分為三個主要部分:協作、自動化和事件響應。
協作(Orchestration):
協作元件負責連接資訊系統中的各種安全工具和系統,使客戶自建的應用程式能與內建的安全工具整合運作。透過協作,SOAR 可以讓不同的端點裝置、防火牆以及用戶安全分析工具協同工作。
自動化(Automation):
自動化元件處理協作元件所收集的大量數據,並通過機器學習進行分析。這部分減少了大量人工參與的記錄分析工作,並能處理票務請求、漏洞檢測以及稽核流程等任務。
事件響應(Incident Response):
其中最重要的部分是事件響應,其帶來的結果並不僅僅是檢討,更多的是當下處理還有未來的進步。
事件響應是指當資訊系統發生事故(事件)後,所採取的措施與應對行動。在資訊安全領域中,事故(incident)通常指對資訊系統造成威脅的事件,亦稱為安全事件。
近年來,事件響應的範圍已不僅限於系統未授權訪問或系統故障等技術性問題,還涵蓋了道德風險事件,如粉飾業績、內幕交易以及掩蓋真相等行為,這些同樣是事件響應的重點對象。
當企業活動中資訊系統發生事故時,可能會導致企業價值的下降。事件響應的其中一個目標,是阻止或最小化資料丟失、服務中斷及企業價值下降等風險,並執行有效的損害控制。
在事件響應中,關鍵在於儘早掌握事件情況,並做到「快」、「準」、「順」地進行初步響應。為了有效應對與調查事件,平時建立完善的應對程序和系統,並定期進行演練與培訓是至關重要的。
在事件調查過程中,若未事先做好準備或系統建設,可能會對解決問題的過程產生障礙。此外,從調查的可靠性及可信度角度來看,邀請第三方調查公司協助調查是一種有效手段。同時,選擇進行數位取證的調查公司也非常重要,決策時不僅應考慮價格,還需綜合評估其經驗、質量等能力。
營運手冊和執行腳本
透過配合營運手冊與執行腳本,SOAR 使管理者能夠定義潛在的安全事件並做出相應的處理。
營運手冊(Playbook)
是一份描述如何驗證安全事件及應對方式的文件。其主要目的是說明執行腳本所需執行的步驟與操作。若 SOAR 系統失效,營運手冊可以作為人工處理的備用方案。
執行腳本(Runbook)
則是將營運手冊中的任務自動化,透過工具執行預定的操作,讓系統能夠採取事先定義的措施,以減輕威脅的影響。
結語
資安協作自動化應變(SOAR)透過協作、自動化和事件響應,為企業提供一個全面且高效的安全管理解決方案。它不僅能夠整合多種安全工具和系統,還能通過自動化手段有效處理大量數據和安全事件,減少人工干預,提升作業效率。最關鍵的事件響應部分,能夠快速應對各種安全威脅,並通過事前準備和適當的損害控制,保護企業免於因事件發生而導致的資料丟失、服務中斷以及企業價值下降。
配合營運手冊與執行腳本,SOAR 平台還能確保即便在系統失效時,也有可靠的應對方案,確保管理者能夠持續保持對安全事件的掌控。總之,SOAR 為企業提供了一個集成、智能且高度自動化的安全防護架構,有效提高了企業應對網絡安全威脅的能力,並且大幅減少安全事故對企業運營帶來的潛在影響。
參考資料