人类智能+人工智能 IBM的SOAR与众不同点
发布时间:2022-05-26 09:16:05 所属栏目:安全 来源:互联网
导读:SOAR是什么? Gartner 在 2017 年年底对 SOAR 重新进行了定义。由于新的技术与市场逐渐成熟,SOAR 的概念由 SOA(安全自动化与编排)、SIR(安全事件响应平台)与 TIP(威胁情报平台)三部分组成。从实践角度来看,通过自动化编排能力与威胁情报能力,实现风险优化
|
SOAR是什么? Gartner 在 2017 年年底对 SOAR 重新进行了定义。由于新的技术与市场逐渐成熟,SOAR 的概念由 SOA(安全自动化与编排)、SIR(安全事件响应平台)与 TIP(威胁情报平台)三部分组成。从实践角度来看,通过自动化编排能力与威胁情报能力,实现风险优化、检测、溯源与响应的行为闭环。 根据安全牛对 Gartner 的总结,理想的 SOAR 系统应该有四方面的能力: 1. 编排能力:将不同的技术整合在一起进行协同工作。 2. 自动化能力:让机器可以像人类一样处理工作。 3. 事件管理与协同能力:人与人之间,不同部门/分组之间成员对事件的协同管理。 4. 仪表板展示能力:将事件、环境信息以可视化的方式提供给相关人员。 一年半过去了,SOAR 产品的完善度似乎未达到理想的地步。大部分厂商的产品都在 SOA、SIR 与 TIP 三个领域中的某一个领域深耕,很少有能够同时提供三个领域能力的厂商。 那么,在基于 IBM 大量的业界最佳实践的基础上,Case Management 与 AI & Human Intelligence 又与 Gartner 提出的 SOAR 理念有什么不同之处呢? 我们很多时候都是将事件作为一个单点来看:当事件发生后,安全团队和系统采取某种措施进行响应,而在这些环节中,似乎人员(安全团队)、系统(某些安全设备)、发生的事件都是作为事件中零散的属性而存在。但是,事实上,当一个事件发生时,往往牵涉到了不同的部门(不同的业务系统)、不同的事件需要不同的流程进行处理等等。如果我们将安全事件以一种更立体的角度来看待:从人员角度,在某种安全事件发生后,企业需要谁来进行响应,该如何协同进行工作;从具体行动角度,相关人员需要采取怎样的一系列措施;从事后分析角度,企业在这些安全事件中都分别进行了怎样的措施,不同角色进行了怎样的行动。通过从不同的维度进行扩展,将安全事件不作为一个单独的点进行处理,而是一个有时间、成员、行动等多个因素组成的场景,或者具体的用例——这就是 Case Management 的概念。 IBM 的 SOA、Case Management、AI & Human Intelligence 以自己的理解重构了 SOAR 的三个组成部分,同时也达成 Gartner 定义中对 SOAR 的四个能力要求。其中,Case Management 也被 Gartner 作为事件管理与协同能力中的一点提出——但是 IBM 的 Case Management 显然满足了 Gartner 对事件管理与协同能力中所有的要求。事实上,Case Management 对厂商而言是有相当高难度的:Case Management 不只是类似于 playbook 的行为指导,而是基于企业中不同团队的协同,进行场景化、流程化的处理,同时对行为和事件进行记录,并且基于角色进行安全控制。安全本身不再是安全团队的单独行动,而是与系统相关的人员之间的联动。另一方面,威胁情报在于有价值的分析——有经验的人类专家往往能从中发现当下人工智能无法发现的蛛丝马迹。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐