本文分析了网络安全运维面临的困境,如安全事件频发、人力资源不足、响应能力弱和协同程度低。介绍了SOAR(安全编排自动化与响应)技术的基本概念、核心能力和架构,强调了安全编排知识库、智能推理引擎和效能评估引擎的关键作用。通过融合人工智能技术,提出智能化安全编排与响应架构,以提升网络安全事件的智能化处理流程和响应效率。
前言
当前,网络安全问题日益严重,网络攻击方式日趋多样化和隐蔽化,安全漏洞等安全风险和事件层出不穷,依托人工经验、基于单点安全防御能力分析和响应的网络安全运维模式已经不足以应对,亟需从全网整体安全运维的角度去考虑,将分散的安全监测与响应机制整合起来,提升安全响应效率,构建以观察、定位、决策和响应为一体的新型网络安全运维体系。
为 了 解 决 网 络 安 全 运 维 面 临 的 突 出 问 题,Gartner 公司最早于 2015 年提出了“SOAR”的概念,其定义为安全运维分析与报告(Security Operations,Analytics, and Reporting)。随着安全运维技术的快速 发 展 与 演 变,2017 年 Gartner 公 司 将“SOAR”概念重新定义为安全编排自动化与响应(Security Orchestration, Automation and Response)。该技术旨在帮助企业和组织收集监控到的各种网络信息,进行安全事件的综合分析和告警分类,并通过标准化工作流程,利用人机结合的方式,整合不同安全厂家的相关产品和安全服务,帮助安全运营人员定义、排序和驱动标准化事件响应活动,以提升网络安全事件运维能力和效率。
伴随着人工智能技术的快速发展和不断成熟,网络安全行业逐渐将发展重点之一聚焦到基于人工智能技术的自动化网络安全防御解决方案,改善现有的网络防御体系并提升核心防御效能。将人工智能与传统安全编排响应技术相结合,可以使安全编排响应由“自动化”向“智能化”转变,因此构建更加高效、灵活、快速的网络安全事件响应机制成为网络安全事件运维发展新趋势。2021 年 7 月,工信部公开征求对《网络安全产业高质量发展三年行动计划(2021—2023 年)(征求意见稿)》的意见,其中明确将“安全编排自动化与响应”列入发展创新安全技术重点任务。
本文首先分析新形势下网络安全事件运维面临的困境,阐述 SOAR 概念、核心能力和架构,以及目前 SOAR 系统存在的问题;其次在此基础上提出智能化网络安全事件响应架构,并详细阐述涉及的关键组件、关键技术和处理流程,从而实现对传统SOAR 系统的智能化赋能。
一、新形势下网络安全运维面临的困境
随着网络环境复杂性的不断增强,安全事件中的攻击手段不断升级,使得网络空间的攻防战愈发激烈。新形势下网络安全运维所面临的困境主要表现为以下几个方面。
(一)安全事件频发且种类数量多
根据网络安全事件的起因、表现和结果等,可将其分为恶意程序、网络攻击、信息破坏、内容安全、设施故障等多种类型。近年来,随着网络空间和数字经济的高速发展,各类网络安全事件频发,并且呈现出规模化、组织化、专业化等特点,甚至有些网络事件的始作俑者是以国家为背景的组织,具有针对性高、伪装性和潜伏性强等特点,使得安全运维处置更加复杂 。例如,2022 年 4 月,黑客入侵国内某医疗机构信息系统,半年时间非法获取系统数据 10 万余条,造成了客户信息大量泄漏;2022 年 9 月,西北工业大学遭受境外有组织的网络攻击,攻击方使用了 41 种网络攻击武器,攻击链路多达 1 100 余条,以窃取学校关键网络设备配置、运维数据等核心技术数据;2022 年 12 月,蔚来汽车因服务器配置漏洞,导致了百万条用户信息泄露,并遭受了巨额勒索,造成了严重经济损失。
(二)人力资源不足且运维难度大
传统的人工运维方式通过人力完成对各类网络安全事件的响应,如今已经无法应对如此复杂的网络安全事件,这是因为:首先,面对各类网络防御设备复杂的安全策略配置、层出不穷的攻击手段和繁杂多样的安全事件,需要相关安全人员具备很高的运维水平、丰富的领域知识及优秀的持续学习能力,而高水平网络安全人才严重短缺。
其次,网络安全事件的处理严重依赖安全运维人员的经验和知识主观判断来选择合适的安全设备和策略进行抵御和防护,大大加重了安全运维人员负担,安全事件处置的及时性、合规性和有效性难以得到保证;最后,随着对网络安全人才需求的不断增加,高水平安全运维人才容易流失,使得成功经验无法固化且短时间难以弥补,对企业来讲是难以弥补的损失。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
