“知行合一”是由明朝思想家王守仁(阳明先生)提出,强调不仅要认识“知”,还要实践“行”,其实也就是现在所说的理论与实践的相结合。这一中国古代哲学中认识论和实践论的命题在当下数字中国的信息安全领域仍有巨大借鉴意义。
启明星辰集团通过将专业的技术知识与场景化的安全实践相结合,正式推出智能运营系统(SOAR)产品,赋能网络安全与数据安全,帮助更多企业及其安全运营中心解决响应过程中人员短缺的问题,提高企业的事件检测和响应时间,减少入侵者的停留时间,提高安全运营团队整体工作效率。
无缝衔接运营平台
面向用户场景化的安全运营是理论与实践相结合的重要载体。在各种规模的企业安全运营中心中,安全运营支撑平台通常是态势感知平台、安全管理平台、云安全管理平台或这类平台的超集(包括企业自建的业务管理平台)。
较于“知行合一”的理念,“态势感知”强调“知”的理解与分析,而启明星辰集团智能运营系统(SOAR)强调的安全编排、自动化响应则是行动的闭环,这一类技术与原有平台融合且互相促进,打破了传统的运营平台边界,提升了安全运营中心的能力与效率,是“知行合一”在产品侧的核心体现。
安全运营的联络中枢
在实际运维中,智能运营系统(SOAR)通常在一系列安全工具中处于战略架构的中枢位置,侧重于工作流和流程,在整个体系中充当各类平台、工具之间传输数据的代理,安全编排、自动化功能帮助网络安全专业人员识别告警并作为威胁情报生产和消费的中央枢纽。
同时,该产品为安全运营提供协调编排的解决方案,将安全运营团队、安全能力和流程,通过编排和自动化技术整合在一起,对接收到的各类安全事件或告警,利用人机结合的方式在标准化工作流程的指引下,进行持续监测、排序和驱动告警分诊、事件调查,并最终实现高效安全的智能运营。
解决安全运维4大难题
如今,网络入侵手段日益复杂,告警数量越来越多,威胁驻留时间不断增加,大多企业和组织仍偏向购买同类型中最佳产品,导致各种不同安全产品的集合,没有互连性或无法作为统一防御平台发挥最佳作用。智能运营系统(SOAR)解决安全运维工作最后一公里的告警疲劳、响应缓慢、经验流失、流程复杂4大难题,有效地处置用户防御体系中的问题。
▸告警疲劳:进行告警分诊、自动匹配,将告警数量降到可处理范围,解决日常安全运营平台产生的告警积压不断增加等问题;
▸响应缓慢:自动化重复的运维操作,有效减少平均修复时间(MTTR),有效解决对于重要安全事件响应不及时,花费很长时间,手工操作太多,难以及时止损等问题;
▸经验流失:剧本固化进行知识积累,解决安全运营的流程和事件应对的经验难以留存,未有效积累的问题;
▸流程复杂:通过人对流程的梳理,固化到剧本中,让繁复的工作自动化,将人、技术、工具合为一体,使得运维团队拥有更多时间参与流程优化以及战略规划,解决安全运营工具碎片化,人、技术和流程缺乏协同,运营效率低下及运营效果难以提升等难题。
产品特色
▸多数据源对接技术适配多种部署情况
智能运营系统(SOAR)支持企业运维人员从两大类数据源获取安全事件数据,一类为启明星辰集团的自有平台,包括态势感知平台、安全管理平台、云安全管理平台,另一类为第三方平台或安全设备。尤其是通过与现有云安全管理平台工具的集成,帮助在云和内部部署环境中协调和自动化响应过程,IT人员可以结合云和内部事件响应、进行自动化和操作任务调度。
▸单一界面的安全自动化
智能运营系统(SOAR)为广泛的安全事件类型提供开箱即用的动作与剧本,且自动执行剧本,减少运维人员的工作负载,确保全面、可衡量的响应过程;通过流畅的可视化剧本编辑器,帮助安全团队创建和管理符合最佳实践和内部工作流程的剧本,应用一组工作流来处置安全事件;通过解决方案集成来进行数据编排,以便于单一界面的安全自动化,帮助企业的安全运营中心解决安全操作员工短缺的问题,缓解入侵量持续增长的问题。
▸构建“运营工具箱” 实现颗粒化联动协作
通过全维度、插件式应用集成框架技术,智能运营系统(SOAR)具备了“运营工具箱”的存储和分类功能,快速对接网络、安全设备,协作及运维系统、云端应用,实现颗粒化联动协作能力。
安全源自未雨绸缪,诚信贵在风雨同舟。启明星辰集团凭借十多年安全管理分析平台产品研发经验、深厚的综合分析平台整体解决方案能力及丰富的全国大型项目实践积累,通过贯彻“知行合一”理念和运用场景化安全思维推出智能运营系统(SOAR),以可视化编排、自动化响应为关键能力,帮助安全运营团队和安全分析师从重复、简单、枯燥的日常工作中解脱出来,减少由于人工误操作引起的不必要的事故,构建专业安全运营体系,快速提升网络运维、安全分析和应急响应能力。