业务背景
随着医疗信息化的高速发展,医疗机构信息系统的复杂度不断提高,网络的规模日益增大,各类网络设备、安全设备、应用系统不仅品种多而且数量大,网络内部的终端及服务器数量少则数十台多则上万台。随着《中华人民共和国网络安全法》和等级保护相关政策发布及要求,各医疗机构基本上已经完成了纵深的安全防御体系的建设,在各主干链路上都部署了大量的网络安全防护和安全审计产品,比如防火墙、WEB应用防火墙、入侵检测\防御设备、终端检测与响应、综合审计、数据库审计等传统产品,但这些产品都是基于单点的工作机制,不断发展的威胁检测技术也带来大量安全告警。安全运营人员在对安全事件处置时,需要在各种安全设备上来回操作。由此可见,各安全设备之间的整合度低、联动性不强,在应对网络安全事件时不能高效协同。
当前各种攻击组织对我国医疗行业进行了大范围持续性网络攻击,各医疗机构面临的网络安全威胁形势日益严峻。持续性的高级安全威胁越来越频繁,医疗数据泄密和患者信息泄露等事件常有发生,医疗机构如何快速发现数据泄密事件,并采取积极的防御手段及时阻止事件的发生,已成为安全合规性需求。面对数量巨大且愈益隐蔽和持续的安全威胁,医疗机构大部分安全操作仍然是由运营团队依据文档和程序化的流程手动维护,这给安全运营带来了巨大的挑战。一方面,网络安全专业人才的短缺,使得医疗机构难以应对数量激增的网络安全事件,安全分析师每天收到的告警往往都是数以百计,远远超过他们实际可以处理的告警数量。另一方面,安全分析师在安全事件处置上的经验难以固化,安全分析师所具备的能力是依靠处理大量安全事件后其总结经验形成的,分析师的经验不能迭代固化,就意味着培养一名合格的安全分析师都需要长期的经验积累,这将延缓整个安全体系人才建设的步伐,也使得安全专业人员的成本高居不下。
安全需求
1)安全专业人员短缺:由于安全专业人员短缺,客户表示越来越需要自动化的机制协调各项可重复的安全任务,从而形成运营规模。
2)应对不断演变和剧增的安全威胁:当组织考虑破坏数据并可能导致知识产权泄露和勒索敲诈等威胁时,往往需要快速、一致和尽量以更少的手动步骤频繁响应。
3)提高告警的诊断速度和质量:众所周知,安全监测系统(如SOC/SIEM等)运行产生的大量告警,包括许多发现为“误报”或事后根本不相关告警的额外调查,对这些告警的处理需要消费大量成本,希望通过可重复和高频次的自动化事件调查,帮助提高信噪比。
4)缩短响应、遏制和补救的时间:医疗机构正在处理日益复杂的安全威胁,例如勒索敲诈病毒,为了遏制其在环境中横向传播,运营团队往往只有几分钟的快速响应时间,需要在安全防护系统上下发统一的防护策略,才能有机会短时间内遏制威胁。
5)减少安全分析师不必要的日常工作:安全运营中心的安全分析师在进行事件分析和调查时,经常多种工具配套使用,往往需要在不同的工具上来回操作。比如他们需要根据SOC/SIEM 控制台告警,在威胁情报平台上获取相关实体的信息,在终端检测和响应 (EDR)上获取有关受影响的终端上下文信息,需要统一的安全事件调查分析与处置平台将这些工具连接在一起进行安全事件的协同处理。
解决方案
Gartner在2015年首次提出SOAR概念,将 SOAR 定义为 Security Operations, Analytics, and Reporting(安全运维分析与报告)。到了 2017 年,Gartner 重新将 SOAR 定义为安全编排自动化与响应(Security Orchestration, Automation and Response),并将其看作是安全编排与自动化 (SOA, Security Orchestration and Automation)、安全事件响应平台 (SIRP, Security Incident Response Platform) 和威胁情报平台 (TIP, Threat Intelligence Platform) 三种技术/工具的融合。2019年后SOAR的发展路径将由SOC优化、威胁检测和响应、威胁调查和狩猎以及威胁情报管理来驱动。未来,SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其提升安全运营效率,加快安全响应速度的目标不会改变。
启明星辰泰合智能运营系统(TSOC-IOS)旨在帮助安全运营团队和安全分析师从重复、简单、枯燥的日常工作中解脱出来,并减少由于人工误操作引起的不必要的事故,提升网络运维、安全分析和应急响应能力。
该系统使用安全编排与自动化响应(SOAR)技术,通过数字化的工作流定义事件分析和响应过程,安全运营人员可根据标准化的事件响应流程,实现自动化的进行事件分析和优先级排序,帮助企业和组织在面临威胁时提供预测、防御、检测和响应能力。该平台融合了安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报(TI)的相关理念和技术,并引入数字化工作流。系统以目标为导向,将日常具体的各项安全工作内容固化为工作流上的一个个节点,通过对这些节点的有序排列组合,编排为某一复杂工作的工作流程,也称为“剧本”(或Playbooks)。在日常安全运营工作中,针对某项具体工作,如果存在编排好的剧本,则可以依据这个剧本按部就班地工作,通过程序进行自动化响应也便成为可能。除此之外,TSOC-IOS还具有运营绩效KPI评估体系,可对业务工作流程和剧本自动化执行的结果进行有效的评估,以便进行工作流程的改造和编排内容的优化。
泰合智能运营系统TSOC-IOS可进行安全事件的收集,评估其严重性,协调事件响应和补救,并监测整个过程,可以事件解决响应过程中人员短缺、改进告警分类质量和速度、减少事件响应时间、提高安全运营团队整体工作效率等问题。
泰合智能运营系统TSOC-IOS提供安全编排与自动化(SOA)、 安全事件响应(SIR)和威胁情报管理(TIP)三大核心能力,可帮助医疗机构的安全团队能够收集监控数据,并能够实现部分自动化地进行事件分析和分类过程,根据预定义的工作流,确定优先级并推动标准化的事件响应活动。
方案优势
● 基于启明星辰泰合产品本部先进的CUPID开发框架,实现安全编排与自动化响应的架构设计,通过对安全能力的编排与自动化配置响应的体系框架、功能组成、接口规范的研究,可与启明星辰泰合信息安全运营中心系统(USM\SOC)无缝对接,实现系统的自动化、安全可靠的智能运营。
● 实现安全配置意图表征技术,研究系统配置与运营的意图描述语言,通过可视化的编辑器,以手工拖拽的方式实现安全防护能力和人工确认相结合,按照一定的逻辑关系组合到一起,用以完成某个特定安全操作的过程,实现安全能力的编排。具备对网络设备、安全设备、设备等配置与管理描述的能力,可实现人类意图转换为系统配置的意图描述语言。
● 安全配置自动生成与验证技术:研究配置策略描述与场景建模、配置意图自动化转译等内容,实现系统配置策略从手动到自动化生成,通过对安全设备或系统的安全能力与响应动作的抽象处理,屏蔽了安全运营人员对设备进行指令级操作,降低手工配置错误率。
● 安全配置协议设计技术:研究面向网络设备、安全设备等安全能力需求与接口规范的描述、两者映射关系建模与验证,实现系统设备的对外接口暴露更小的安全风险,实现更高的安全。可支持网络设备、安全设备等设备的接口。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
