爱奇艺SOAR探索与实践
SOAR 全称 Security Orchestration, Automation and Response,即安全编排自动化与响应,最早由Gartner在2015年提出。 安全团队注重威胁检测,往往购买了各种安全设备,同时自研安全产品,试图通过增加检测功能,追求更小的MTTD(平均威胁检测时间),以及更大的威胁检出率。但面对外部日新月异的攻击手法,频频爆出的高危漏洞,不断增加的安全服务,企业安全运营面临巨大的压力,一方面出现安全人力不足,另一方面,对安全运营的专业能力要求过高。这个时候,急需一个系统来提升安全运营的标准化和自动化水平。 SOAR提出了通过事件智能分析、事件编排、安全工具整合的方式,加快事件的快速预警和响应,从“人到安全工具”交互转变为“机器到安全工具”交互,应急响应转换为持续自动化响应,从而降低人工成本、降低MTTR、提高安全运营生产力。近来SOAR产品备受关注,目前国内比较知名的厂商有雾帜智能,绿盟,盛华安,360等,阿里云-云安全中心也上线了SOAR相关功能,如自动化溯源等。国外有Rapid7/Splunk也很早在SOAR领域开始了布局。 SOAR作为安全编排与自动化,情报和事件响应平台融合的新兴安全解决方案,可以帮助企业在有限的人力下,处置更多的威胁,降低MTTR(平均威胁处置时间)。爱奇艺内部引入SOAR之后,通过开发安全组件拉通各个安全服务