Palo Alto Networks：安全風險管理方案必須盡可能簡化

「在去年，數位轉型對企業而言仍可能是個選項，但今年可謂是疫情年，無論是企業的業務方式、大眾的生活習慣等都有了明顯的改變，對此勢必要加速轉型。」Palo Alto Networks 代理資安顧問陳宇君分享此觀察體悟作為開場。然轉型改變即意味著風險，例如資安威脅、營運中斷等，因此需要安全風險管理，且方案必須盡可能簡化。

在資安防護的實現過程中，首先從使用可及的範圍與廣度來下手，因此要具備資訊環境的一致可視性與可控性，並且讓端點、閘道、雲端等各環節緊密結合，而後資安防護系統所產生的資料能透過大數據分析，從而能自動回應資安威脅。

其次，企業可運用美國國家標準暨技術研究院 (NIST) 訂立的資安框架 (CSF) 來檢視自身的缺弱處，從而擬定防護的優先順序。進一步的，從資安維運人員的日常週期循環來檢視資安，包含研讀 SIEM 資安事件、依詢資安流程、調查、與相關部門人員合作、採取應對防禦動作，以及績效評核。

除此之外，資安團隊現階段面臨三大難題，一是有大量的警示資料卻分析很慢，難以準確快速回應；二是很多資安工具無法溝通聯繫，孤島問題使資安人員頭痛；三是人員彼此顯少溝通交流，亟需一套有效的溝通方式。

要因應如此繁多的資安問題，資安人員希望有個富爸爸讓資安預算無上限，而老闆則希望資安人員會忍者分身術以一擋百解決一切。由於更多資安動作程序需要自動化，因而在 2015 年有了 SOAR 一詞，其意涵主要有三，即資安事件回應 (SIR)、威脅漏洞管理 (TVM)、資安維運分析 (SOA)。

到了 2017 年又對此重新賦予了新定義，強調緊密結合的協同作業與自動化執行，2019 年 Gartner 進一步在原有的 SOAR 基礎上再加入威脅情資平台 (TIP)，增加威脅的準確度、判斷率，此或可稱為 SOAR 2.0。

對於 Palo Alto Networks 而言，過去 Palo Alto Networks 以重新定義防火牆並推出新世代防火牆 (NGFW) 聞名，而今 Palo Alto Networks 則重新定義 SOAR 並推出新世代的 SOAR，即 Cortex XSOAR。Cortex XSOAR 是業界第一個擴充的安全協調和自動化平台，具有本機案例管理、即時協作和威脅情報管理，完全合乎 SOAR 2.0 的要求。

目前市場上能提供 SOAR 方案約有 5 家，於國內市場約 3 家，在 Gartner 的魔術象限 (Magic Quadrant) 評比中 Cortex XSOAR 為第一名。Cortex XSOAR 可快速回應資安事件、對事件回應提供標準化流程、透過協同作業與機器學習改善調查分析品質，進而讓企業減少資安風險。

最後陳顧問提醒，SOAR 其實是一種思維方式，不僅用及技術也要考慮人員與流程方案的成功部署，並且要依據個別企業的案例與需求來實施，最後必須是負責任地自動化，以服務層級協議 (SLA) 來要求各項資安流程、回應、反應等時間，以確保各項請求不會被忽視。