醫院智能安全運營產品(TSOC-IOS)方案
作者:啟明星辰技術中心行業營銷部
2021-03-09
業務背景
隨著醫療信息化的高速發展��,醫療機構信息系統的復雜度不斷提高�����,網絡的規模日益增大����,各類網絡設備���、安全設備�、應用系統不僅品種多而且數量大�����,網絡內部的終端及服務器數量少則數十臺多則上萬臺�����。隨著《中華人民共和國網絡安全法》和等級保護相關政策發布及要求����,各醫療機構基本上已經完成了縱深的安全防御體系的建設���,在各主干鏈路上都部署了大量的網絡安全防護和安全審計產品���,比如防火墻���、WEB應用防火墻�����、入侵檢測\防御設備�����、終端檢測與響應�、綜合審計����、數據庫審計等傳統產品����,但這些產品都是基于單點的工作機制�����,不斷發展的威脅檢測技術也帶來大量安全告警��。安全運營人員在對安全事件處置時�,需要在各種安全設備上來回操作��。由此可見��,各安全設備之間的整合度低��、聯動性不強����,在應對網絡安全事件時不能高效協同��。
當前各種攻擊組織對我國醫療行業進行了大范圍持續性網絡攻擊�����,各醫療機構面臨的網絡安全威脅形勢日益嚴峻���。持續性的高級安全威脅越來越頻繁����,醫療數據泄密和患者信息泄露等事件常有發生�,醫療機構如何快速發現數據泄密事件��,并采取積極的防御手段及時阻止事件的發生����,已成為安全合規性需求����。面對數量巨大且愈益隱蔽和持續的安全威脅����,醫療機構大部分安全操作仍然是由運營團隊依據文檔和程序化的流程手動維護�����,這給安全運營帶來了巨大的挑戰����。一方面�,網絡安全專業人才的短缺����,使得醫療機構難以應對數量激增的網絡安全事件����,安全分析師每天收到的告警往往都是數以百計��,遠遠超過他們實際可以處理的告警數量�����。另一方面�,安全分析師在安全事件處置上的經驗難以固化�,安全分析師所具備的能力是依靠處理大量安全事件后其總結經驗形成的�����,分析師的經驗不能迭代固化����,就意味著培養一名合格的安全分析師都需要長期的經驗積累��,這將延緩整個安全體系人才建設的步伐���,也使得安全專業人員的成本高居不下���。
安全需求
1)安全專業人員短缺:由于安全專業人員短缺�,客戶表示越來越需要自動化的機制協調各項可重復的安全任務���,從而形成運營規模�����。
2)應對不斷演變和劇增的安全威脅:當組織考慮破壞數據并可能導致知識產權泄露和勒索敲詐等威脅時�����,往往需要快速���、一致和盡量以更少的手動步驟頻繁響應��。
3)提高告警的診斷速度和質量:眾所周知�,安全監測系統(如SOC/SIEM等)運行產生的大量告警��,包括許多發現為“誤報”或事后根本不相關告警的額外調查���,對這些告警的處理需要消費大量成本�,希望通過可重復和高頻次的自動化事件調查�,幫助提高信噪比�����。
4)縮短響應�����、遏制和補救的時間:醫療機構正在處理日益復雜的安全威脅����,例如勒索敲詐病毒���,為了遏制其在環境中橫向傳播�����,運營團隊往往只有幾分鐘的快速響應時間����,需要在安全防護系統上下發統一的防護策略�,才能有機會短時間內遏制威脅�。
5)減少安全分析師不必要的日常工作:安全運營中心的安全分析師在進行事件分析和調查時�,經常多種工具配套使用��,往往需要在不同的工具上來回操作�����。比如他們需要根據SOC/SIEM 控制臺告警���,在威脅情報平臺上獲取相關實體的信息��,在終端檢測和響應 (EDR)上獲取有關受影響的終端上下文信息��,需要統一的安全事件調查分析與處置平臺將這些工具連接在一起進行安全事件的協同處理��。
解決方案
Gartner在2015年首次提出SOAR概念����,將 SOAR 定義為 Security Operations, Analytics, and Reporting(安全運維分析與報告)�����。到了 2017 年�����,Gartner 重新將 SOAR 定義為安全編排自動化與響應(Security Orchestration, Automation and Response)����,并將其看作是安全編排與自動化 (SOA����, Security Orchestration and Automation)��、安全事件響應平臺 (SIRP, Security Incident Response Platform) 和威脅情報平臺 (TIP, Threat Intelligence Platform) 三種技術/工具的融合���。2019年后SOAR的發展路徑將由SOC優化��、威脅檢測和響應�����、威脅調查和狩獵以及威脅情報管理來驅動�����。未來��,SOAR 技術仍然在快速演化���,內涵未來仍可能會變化���,但其提升安全運營效率��,加快安全響應速度的目標不會改變�。
啟明星辰泰合智能運營系統(TSOC-IOS)旨在幫助安全運營團隊和安全分析師從重復�、簡單�����、枯燥的日常工作中解脫出來��,并減少由于人工誤操作引起的不必要的事故�����,提升網絡運維��、安全分析和應急響應能力�����。
該系統使用安全編排與自動化響應(SOAR)技術�,通過數字化的工作流定義事件分析和響應過程���,安全運營人員可根據標準化的事件響應流程���,實現自動化的進行事件分析和優先級排序��,幫助企業和組織在面臨威脅時提供預測���、防御�����、檢測和響應能力��。該平臺融合了安全編排和自動化(SOA)�����、安全事件響應(SIR)和威脅情報(TI)的相關理念和技術��,并引入數字化工作流���。系統以目標為導向�����,將日常具體的各項安全工作內容固化為工作流上的一個個節點�,通過對這些節點的有序排列組合����,編排為某一復雜工作的工作流程��,也稱為“劇本”(或Playbooks)����。在日常安全運營工作中��,針對某項具體工作����,如果存在編排好的劇本���,則可以依據這個劇本按部就班地工作�����,通過程序進行自動化響應也便成為可能��。除此之外����,TSOC-IOS還具有運營績效KPI評估體系��,可對業務工作流程和劇本自動化執行的結果進行有效的評估�,以便進行工作流程的改造和編排內容的優化�����。
泰合智能運營系統TSOC-IOS可進行安全事件的收集��,評估其嚴重性�����,協調事件響應和補救����,并監測整個過程�,可以事件解決響應過程中人員短缺��、改進告警分類質量和速度�、減少事件響應時間���、提高安全運營團隊整體工作效率等問題����。
泰合智能運營系統TSOC-IOS提供安全編排與自動化(SOA)���、 安全事件響應(SIR)和威脅情報管理(TIP)三大核心能力�����,可幫助醫療機構的安全團隊能夠收集監控數據����,并能夠實現部分自動化地進行事件分析和分類過程����,根據預定義的工作流����,確定優先級并推動標準化的事件響應活動���。
方案優勢
● 基于啟明星辰泰合產品本部先進的CUPID開發框架����,實現安全編排與自動化響應的架構設計����,通過對安全能力的編排與自動化配置響應的體系框架�、功能組成�����、接口規范的研究���,可與啟明星辰泰合信息安全運營中心系統(USM\SOC)無縫對接�����,實現系統的自動化����、安全可靠的智能運營����。
● 實現安全配置意圖表征技術��,研究系統配置與運營的意圖描述語言���,通過可視化的編輯器����,以手工拖拽的方式實現安全防護能力和人工確認相結合��,按照一定的邏輯關系組合到一起���,用以完成某個特定安全操作的過程�����,實現安全能力的編排�����。具備對網絡設備�、安全設備����、設備等配置與管理描述的能力�����,可實現人類意圖轉換為系統配置的意圖描述語言�。
● 安全配置自動生成與驗證技術:研究配置策略描述與場景建模�、配置意圖自動化轉譯等內容�����,實現系統配置策略從手動到自動化生成����,通過對安全設備或系統的安全能力與響應動作的抽象處理��,屏蔽了安全運營人員對設備進行指令級操作���,降低手工配置錯誤率�。
● 安全配置協議設計技術:研究面向網絡設備�、安全設備等安全能力需求與接口規范的描述��、兩者映射關系建模與驗證���,實現系統設備的對外接口暴露更小的安全風險��,實現更高的安全���?��?芍С志W絡設備�、安全設備等設備的接口���。
京公網安備11010802024551號