企业环境内可能有数百种网路设备,对于网路上的攻击者来说有很多管道可以利用来窃取机敏资料,危害企业网路安全,因为这些攻击行为使网路安全团队每天要面对成千上万的告警讯息,而场域内多样化的设备经常是按照自身提供的服务在独立运作,使用传统人工处理告警的运作模式耗费太多人力与时间,且资安专家的技术水平不一致,使企业无法快速判断并且有效地因应来自外部的零时差攻击,现今的组织内的设备多样化,使用从实体到虚拟再到云的各种部署方式与系统架构建置,很难对网路内所有设备的状况与告警情形一目了然,甚至有重複的告警讯息出现在不同资安设备中。
全新的安全解决方案
随着组织寻求更有效的方法来应对网路威胁,一类新的网路安全解决方案正在受到关注。 这些平台被称为安全协调,自动化和响应(SOAR),旨在使各种安全工具和系统更好地协同工作,以加速威胁响应并提高安全运营中心(SOC)的效率。 但是,要想从 SOAR 解决方案中获得最佳性能,就需要从不同的安全设备中取得相关数据。 而这些数据和精确的可见性皆可以从所有网路所依赖的基础设施(DNS,DHCP 和 IPAM)中获得。
SOAR解决方案带给安全团队的好处:
-
- 确认维运操作的优先级别
- 整合来自不同安全工具、第三方情资和IT资料库的数据
- 集中查看安全事件以确定威胁响应的优先级别
- 正式分类和事件响应
- 更快地审查和评估事件,并根据最佳实践开始对安全事件进行补救
- 更快地应对威胁,克服因网路安全人员过度劳累和人员不足而产生的问题
- 自动化工作流程
- 自动执行耗时且平凡的操作,以便SOC工程师可以专注于主要任务,例如威胁搜寻
- 确认维运操作的优先级别
结合网路基础设施达到网路安全自动化
Infoblox Security Ecosystem 主要目的在于 DNS 受到攻击时的响应,举例来说,当 Infoblox 受保护的 DNS 服务设备遭受攻击者的恶意行为攻击时,自动侦测 DNS 查询的封包行为,启用保护机制将恶意网域新增至 Response Policy Zone 中,停止恶意的封包行为,并自动使用通用格式将事件资讯提供给其他资安设备,例如 SIEM、防火墙、Web Proxy,使这些资安设备提前知道此类型的攻击行为,如此一来不仅可以缩短事件调查的时间,亦能预先防範未来对其他资安设备相同的攻击,针对内部环境也可以侦测到内部端点尝试查询恶意中继站与其建立连线,阻挡并发送事件资讯提供给弱点扫描服务设备,让弱扫设备主动针对此端点的 IP 进行稽核,分析该端点是否遭受控制,成为殭尸网路的其中一枚棋子,有效降低受攻击的时间,保护企业内部的网路环境与服务运作。
Infoblox Ecosystem 除了能提供资安团队将受到攻击的情资自动化地分享给第三方资安设备,带来更敏捷的反应速度外,为使工作流程更自动化,提供了生态系统整合让资安团队人员能够获得内部网路中完整资产与系统架构的整合资讯,减轻人力与时间的成本,为资安团队的生产力提高三倍。并即时地自动为 SOAR 解决方案提供关键设备和安全事件信息。 在从 Infoblox 接收有关 IP 地址,网路设备和恶意事件的数据后,SOAR 平台可以使用该数据来阻止或取消阻止网域,检查有关 IP,主机,网路和网域的信息,并通过该功能丰富安全堆栈中的其他安全工具。
