SOAR – Điều Phối An Ninh, Tự Động Hoá và Phản Hồi

SOAR (Security Orchestration, Automation, and Response) – Điều Phối An Ninh, Tự Động Hoá và Phản Hồi

SOAR là gì?

SOAR, hay còn được biết tới như 1 quy trình bao gồm sự điều phối an ninh, tự động hoá và phản hồi; đây là một giải pháp cho phép các tổ chức, doanh nghiệp hoặc các trung tâm an ninh mạng tối ưu hóa các hoạt động bảo mật bên trong hệ thống và liên quan đến ba lĩnh vực chính sau đây:

  1. Quản lý các sự cố,
  2. Phản hồi lại sự cố,
  3. Tự động hóa các hoạt.

SOAR cho phép việc tổng hợp các giải pháp an ninh và các công cụ bảo mật, giúp người quản trị có thể tự động thu thập dữ liệu từ các thiết bị, sản phẩm hoặc giải pháp nào đó mà được được giám sát bởi một bộ phận vận hành bảo mật và có thể xác định được các sự cố, rủi ro và đưa ra các phản hồi đối với các sự kiện tương ứng, có thể là tự động hoặc thủ công.

soar d3

Tầm quan trọng của SOAR

Trong thời đại Công nghệ thông tin phát triển mạnh mẽ như hiện nay, nhiều tổ chức, doanh nghiệp phải đối mặt nhiều hơn với các mối đe dọa và các rủi ro. Hệ thống bảo mật của họ liên tục bị “quá tải” với các cảnh báo từ nhiều nguồn khác nhau.

Hầu hết ở các tổ chức và doanh nghệp, hạ tầng CNTT luôn phát triển mỗi ngày mỗi khi có sự thay đổi về hệ thống, khi một máy chủ, một công cụ hoặc một phần mềm mới được tích hợp thêm vào. Do đó, hàng trăm sản phẩm công nghệ, các giải pháp bảo mật từ nhiều nhà cung cấp khác nhau được đưa vào hoạt động và tất cả đã tạo ra một “nền tảng bảo mật” riêng biệt.

Trong trường hợp này, các nhân sự thuộc đội bảo mật thường xuyên phải đối mặt với các sự cố 1 cách thủ công, các công cụ an ninh không được hợp nhất với nhau, thao tác rườm rà, hoạt động từ phân rã từ nhiều bộ phận, vận hành không theo quy trình cụ thể, tốn nhiều thời gian phát hiện, quá trình xử lý kéo dài, thiệt hại nặng nề, năng suất bảo mật kém hiệu quả.

Do vậy, cần phải đầu tư một giải pháp có thể cải thiện và khắc phục các vấn đề như trên, và SOAR có khả năng giải quyết được.

Một số tính năng chính của SOAR

  1. Hợp lý hóa và chuẩn hóa các quy trình, thiết lập tự động hóa và điều phối, hoặc tận dụng sức mạnh của các nền tảng cao cấp (ví dụ MITRE ATT & CK, …)
  2. Phối hợp với bảo mật, tự động hóaphản hồi được tích hợp đầy đủ.
  3. Khả năng quản lý theo từng sự cố mạng (Case Management), và hỗ trợ công cụ tạo chuỗi làm việc hiệu quả cho quản trị viên (Work-flow).
  4. Hỗ trợ đo lường và báo cáo thời gian phát hiện, thời gian phản ứng, thời gian xác nhận và thời gian điều tra (Mean-Time-To-Detect (MTTD), Mean-Time-To-Respond (MTTR), …)
  5. Khả năng quản lý sự cố tập trung, cung cấp khả năng cập nhật theo thời gian thực các trạng thái của sự cố đang tức thời diễn ra trong hệ thống (Đang hoạt động, Đã đóng, …)
  6. Kết hợp các phản ứng với sự cố, tự động hoặc thủ công, ví dụ cách ly thiết bị cuối, ngăn chặn người dùng, thu thập dữ liệu máy tính (trong trường hợp mã độc, hỗ trợ khả năng thu thập dữ liệu diều tra từ những thiết bị cuối đáng ngờ), ngăn chặn truy cập mạng bằng các kết hợp với tường lửa thế hệ mới, ngắt tiến trình đáng ngờ đang chạy trên thiết bị người dùng, …

THÔNG TIN VỀ HÃNG CUNG CẤP GIẢI PHÁP

D3 security

error: Content is protected !!