Palo Alto Networks：安全風險管理方案必須盡可能簡化

「在去年，數位轉型對企業而言仍可能是個選項，但今年可謂是疫情年，無論是企業的業務方式、大眾的生活習慣等都有了明顯的改變，對此勢必要加速轉型。」Palo Alto Networks代理資安顧問陳宇君分享此觀察體悟作為開場。然轉型改變即意味著風險，例如資安威脅、營運中斷等，因此需要安全風險管理，且方案必須盡可能簡化。

在資安防護的實現過程中，首先從使用可及的範圍與廣度來下手，因此要具備資訊環境的一致可視性與可控性，並且讓端點、閘道、雲端等各環節緊密結合，而後資安防護系統所產生的資料能透過大數據分析，從而能自動回應資安威脅。

其次，企業可運用美國國家標準暨技術研究院(NIST)訂立的資安框架(CSF)來檢視自身的缺弱處，從而擬定防護的優先順序。進一步的，從資安維運人員的日常週期循環來檢視資安，包含研讀SIEM資安事件、依詢資安流程、調查、與相關部門人員合作、採取應對防禦動作，以及績效評核。

除此之外，資安團隊現階段面臨三大難題，一是有大量的警示資料卻分析很慢，難以準確快速回應；二是很多資安工具無法溝通聯繫，孤島問題使資安人員頭痛；三是人員彼此顯少溝通交流，亟需一套有效的溝通方式。

要因應如此繁多的資安問題，資安人員希望有個富爸爸讓資安預算無上限，而老闆則希望資安人員會忍者分身術以一擋百解決一切。由於更多資安動作程序需要自動化，因而在2015年有了SOAR一詞，其意涵主要有三，即資安事件回應(SIR)、威脅漏洞管理(TVM)、資安維運分析(SOA)。

到了2017年又對此重新賦予了新定義，強調緊密結合的協同作業與自動化執行，2019年Gartner進一步在原有的SOAR基礎上再加入威脅情資平台(TIP)，增加威脅的準確度、判斷率，此或可稱為SOAR 2.0。

對於Palo Alto Networks而言，過去Palo Alto Networks以重新定義防火牆並推出新世代防火牆(NGFW)聞名，而今Palo Alto Networks則重新定義SOAR並推出新世代的SOAR，即Cortex XSOAR。Cortex XSOAR是業界第一個擴充的安全協調和自動化平台，具有本機案例管理、即時協作和威脅情報管理，完全合乎SOAR 2.0的要求。

目前市場上能提供SOAR方案約有5家，於國內市場約3家，在Gartner的魔術象限(Magic Quadrant)評比中Cortex XSOAR為第一名。Cortex XSOAR可快速回應資安事件、對事件回應提供標準化流程、透過協同作業與機器學習改善調查分析品質，進而讓企業減少資安風險。

最後陳顧問提醒，SOAR其實是一種思維方式，不僅用及技術也要考慮人員與流程方案的成功部署，並且要依據個別企業的案例與需求來實施，最後必須是負責任地自動化，以服務層級協議(SLA)來要求各項資安流程、回應、反應等時間，以確保各項請求不會被忽視。