安全编排、自动化和响应 (SOAR) 的推出有望通过自动化、减少手动工作量并提高效率来彻底改变安全运营中心 (SOC)。然而,尽管经历了三代技术和 10 年的进步,SOAR 尚未完全发挥其潜力,使得 SOC 仍在应对许多相同的挑战。采用 Agentic AIa 新方法,最终可以实现 SOC 期待已久的愿景,提供更具动态性和适应性的解决方案来有效地自动化 SOC 操作。
SOAR 于 2010 年代中期与 PhantomCyber、Demisto 和 Swimlane 等公司一起出现,承诺自动化 SOC 任务、提高生产力并缩短响应时间。尽管有这些雄心壮志,SOAR 在自动化威胁情报传播等通用任务方面取得了最大的成功,而不是核心威胁检测、调查和响应 (TDIR) 工作负载。
SOAR 的演变可分为三个阶段几代:
尽管如此尽管取得了进步,SOAR 对 SOC 自动化的核心承诺仍未实现,原因我们稍后会讨论。相反,每一代都主要提高了 SOAR 的操作简便性并减轻了工程负担,但没有解决 SOC 自动化的基本挑战。
当寻求在回答“为什么 SOAR 没有解决 SOC 自动化问题”的问题时,记住 SOC 工作由大量活动和任务组成,每个 SOC 中的活动和任务都不同,这会很有帮助。一般来说,警报处理中涉及的 SOC 自动化任务分为两类:
SOAR 有效地执行“做”任务,但在“思考”任务上遇到困难。原因如下:
通过自动化“思考任务”,整个 SOC 工作流程的更多部分可以实现自动化。
安全操作的分类和调查阶段充满了在响应工作开始之前发生的思考任务。这些思维任务抵制自动化,迫使人们依赖手动、缓慢且不可扩展的流程。这种手动瓶颈依赖于人类分析师,并阻止 SOC 自动化:
为了实现 SOAR 最初的 SOC 自动化承诺,提高 SOC 速度、规模和生产力,我们必须专注于在分类和调查阶段实现思维任务的自动化。成功的自动化调查还可以简化安全工程,因为剧本可以专注于纠正措施而不是处理分类。它还提供了完全自主的警报处理管道的可能性,这将大大减少平均响应时间 (MTTR)。
关键问题是:我们如何有效地自动化分类和调查?
>
近年来,大型语言模型 (LLM) 和生成式人工智能已经改变了各个领域,包括网络安全。AI 擅长在 SOC 中执行“思考任务”,例如解释警报、进行研究、综合多个来源的数据以及得出结论。它还可以接受 MITRE ATT 等安全知识库的培训