自動套劇本 資安攻防比快
面對資安攻擊層出不窮,全球各產業力求轉型、開展新商業模式的同時,也必須提升防護能力,因而資安業者在既有的資安事件控管平台(Security Information and Event Management,SIEM)之外再打造出資安協調、自動化與回應平台(Security Orchestration, Automation and Response,SOAR)方案。過去IT規模較大的企業相當仰仗SIEM平台將IT基礎架構中所有的資料予以整合,並經過正規化後運行關聯式分析,藉以輔助IT管理者或資安人員盡速排除威脅,以免損害過大。
<p> 隨著IT基礎架構開始演進到混合/多雲環境,以往藉由疊加邊界防禦提高入侵門檻的作法已然失效,近年來零信任(Zero Trust)模式已成為資安防護主流策略,旨在掌握連網裝置、用戶帳號的存取行為,基於大數據運行機器學習演算分析建立資料模型,藉此輔助IT維運與資安人員得以主動地釐清難以判定為善意或惡意的存取。 <p> 為了貼近現代化企業應用需求,SIEM開始整合第三方威脅情報(Threat Intelligence)、增添使用者行為分析(User Behavior Analytics,UBA)能力,以降低資安事件回應(Incident Response,IR)複雜的執行程序。如今SOAR平台的興起,更進一步以劇本(Playbook)方式,針對可疑行徑自動執行觸發偵測與調查,並且協調第三方資安方案執行處置,讓企業盡速回應滲透入侵,降低爆發資安事件的機率。
<p>