 在检测方面,目前多是以单点检测为主,检测的误报率较高,有效的告警信息被淹没在海量的无效告警中;同时,传统单点检测设备检测能力有限,很难检测未知威胁与潜伏威胁。 在响应方面,目前多是以应急预案为主,与恢复阶段的内容结合的比较紧密,多是事后的恢复类响应,针对实时检测出的威胁事件的针对性响应不足,主动式响应能力不足。 再进一步说,识别、防御、检测、响应、恢复没有通过技术手段真正联动起来。包括安全检测与分析对于实时自动化风险分析贡献不足,以及在响应的过程中也没有与识别与防御能力进行联动。  1、精准定位已知威胁:单点安全检测设备能够产生有价值的告警,但往往被低质量的告警所淹没了,所以需要从海量数据中进行精准定位。 2、深度检测未知威胁:单点安全设备检测高级威胁、未知威胁能力有限,同时安全威胁已经扩展到用户行为、业务异常等领域,所以要弥补单点安全设备检测能力短板。 3、丰富安全事件场景:利用事件(Event)、日志(Log)产生告警(Alert),再进一步聚合成安全事件(Incident),以及整合资产、漏洞、威胁等上下文数据,明确攻击链条、事件时间线以及风险等级。 4、辅助安全运营决策:针对安全事件能够清晰的描述发生了什么?为什么发生?未来会不会发生?该如何应对?为进一步的安全响应,以及安全防御措施完善,提供决策指导。 至于现在比较火热的SOAR,Securonix的一张方案图比较直观,可以看出中间环节做好了,才能进行安全响应处置,安全响应处置流程标准化了,才能进行安全编排与自动化响应,SOAR目的是减少人工参与,提高运营效率的手段。  |
|
|
