什么是 SOAR？各机构如何在网络安全工作中利用它？

据 Gartner 称， SOAR包括“使组织能够收集安全运营团队监控的输入的技术……SOAR 工具允许组织以数字工作流格式定义事件分析和响应程序。”*

但是 SOAR 到底是什么？ 它是一套无所不知的技术，可以协同工作以减轻威胁并进行分析——一种现实生活中的终结者般的天网技术，可以防止网络攻击？ 是否有特定类型的“SOAR 软件”？ 或者它是一个提供网络安全推荐方法的框架？

翱翔： 坚实的安全框架

它不仅仅是一种工具或一套工具。 SOAR 是创建可靠安全计划的模型。 是的，它要求机构自动处理来自某项技术的安全数据和分析（例如，威胁情报工具，如安全信息和事件管理器或安全日志管理器）。 但是 SOAR 还有另一部分——安全编排——鼓励人工干预。

考虑一下当安全信息和事件管理解决方案或类似工具识别潜在事件时会发生什么。 创建整个工作流程，从工具开始到安全管理员结束。

在此过程中，将根据组织（希望）已经实施的安全政策来评估事件。 考虑因素可能包括：

• 受到攻击的应用的指定威胁级别是多少？
• 根据该威胁级别，应采取哪些自动化措施来减轻损害的可能性？
• 需要采取哪些进一步的措施来解决这个问题？

安全管理员可以获取从法医数据中得出的威胁情报，使用该信息立即调查和补救问题，并相应地调整安全策略以加强机构抵御未来攻击的防御能力。

因此，SOAR 的人为因素开始发挥作用。 尽管 SOAR 框架非常重视自动化，但人员是其重要元素，因为他们是最后一道防线，负责增强安全性。 将他们的专业知识与正确的安全解决方案相结合可以帮助组织领先恶意对手一步。

自适应applications对于 SOAR 模型至关重要

SOAR 专注于构建高度适应性的安全程序，并使用数据不断改进组织应对威胁的方式。 它鼓励利用情报来查明当前的威胁，对这些事件做出反应，从中吸取教训，并随着时间的推移进行调整和改进。

在 F5，我们专注于帮助组织构建可自动调整其安全状态的自适应应用。 这些应用收集和分析来自应用数据路径（应用流量从应用到最终用户的路径）上各个接触点的信息，例如用户首次访问应用时（需要应用身份验证）、数据通过 Internet 推送出去时（触发使用Web应用防火墙）等等。

每个接触点都会产生自己的遥测和分析。 这些数据用于检测应用是否按预期运行，或者是否存在某种可能表明存在违规行为的异常。

如果是后者，应用可以自动适应以减轻潜在威胁，从而满足 SOAR 对自动响应的要求。 假设在应用数据路径的某个时刻检测到可疑流量突然激增。 机器人管理解决方案可以根据对应用进行 ping 的流量类型（例如，人类与机器人）自动检测欺诈活动。 然后，应用可以根据预定义的安全策略自动阻止可疑流量。

人类与机器的力量

SOAR 框架是构建自动化、响应式和敏捷系统的绝佳蓝图，该系统利用多种技术和人力专业知识来执行和不断改进安全策略。 它对当前和未来的威胁形成了高效的威慑。
____

*Gartner 词汇表，SOAR，https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar