Palo Alto Networks:安全風險管理方案必須盡可能簡化
「在去年,數位轉型對企業而言仍可能是個選項,但今年可謂是疫情年,無論是企業的業務方式、大眾的生活習慣等都有了明顯的改變,對此勢必要加速轉型。」Palo Alto Networks代理資安顧問陳宇君分享此觀察體悟作為開場。然轉型改變即意味著風險,例如資安威脅、營運中斷等,因此需要安全風險管理,且方案必須盡可能簡化。

在資安防護的實現過程中,首先從使用可及的範圍與廣度來下手,因此要具備資訊環境的一致可視性與可控性,並且讓端點、閘道、雲端等各環節緊密結合,而後資安防護系統所產生的資料能透過大數據分析,從而能自動回應資安威脅。
其次,企業可運用美國國家標準暨技術研究院(NIST)訂立的資安框架(CSF)來檢視自身的缺弱處,從而擬定防護的優先順序。進一步的,從資安維運人員的日常週期循環來檢視資安,包含研讀SIEM資安事件、依詢資安流程、調查、與相關部門人員合作、採取應對防禦動作,以及績效評核。
除此之外,資安團隊現階段面臨三大難題,一是有大量的警示資料卻分析很慢,難以準確快速回應;二是很多資安工具無法溝通聯繫,孤島問題使資安人員頭痛;三是人員彼此顯少溝通交流,亟需一套有效的溝通方式。

要因應如此繁多的資安問題,資安人員希望有個富爸爸讓資安預算無上限,而老闆則希望資安人員會忍者分身術以一擋百解決一切。由於更多資安動作程序需要自動化,因而在2015年有了SOAR一詞,其意涵主要有三,即資安事件回應(SIR)、威脅漏洞管理(TVM)、資安維運分析(SOA)。
到了2017年又對此重新賦予了新定義,強調緊密結合的協同作業與自動化執行,2019年Gartner進一步在原有的SOAR基礎上再加入威脅情資平台(TIP),增加威脅的準確度、判斷率,此或可稱為SOAR 2.0。

對於Palo Alto Networks而言,過去Palo Alto Networks以重新定義防火牆並推出新世代防火牆(NGFW)聞名,而今Palo Alto Networks則重新定義SOAR並推出新世代的SOAR,即Cortex XSOAR。Cortex XSOAR是業界第一個擴充的安全協調和自動化平台,具有本機案例管理、即時協作和威脅情報管理,完全合乎SOAR 2.0的要求。
目前市場上能提供SOAR方案約有5家,於國內市場約3家,在Gartner的魔術象限(Magic Quadrant)評比中Cortex XSOAR為第一名。Cortex XSOAR可快速回應資安事件、對事件回應提供標準化流程、透過協同作業與機器學習改善調查分析品質,進而讓企業減少資安風險。
最後陳顧問提醒,SOAR其實是一種思維方式,不僅用及技術也要考慮人員與流程方案的成功部署,並且要依據個別企業的案例與需求來實施,最後必須是負責任地自動化,以服務層級協議(SLA)來要求各項資安流程、回應、反應等時間,以確保各項請求不會被忽視。