近日，以“护航数字文明 开创数字安全新时代”为主题的第十届互联网安全大会（ISC 2022）成功举办。未来智安（XDR SEC）产品经理刘晓受邀参加，分享了《SOAR：为XDR扩展威胁检测响应提供响应解决方案》特色主题演讲，为解决安全运营快速响应提供了新的技术思路。

以下是演讲实录：

大家好，我是未来智安的产品经理刘晓。北京未来智安科技有限公司是一家聚焦于XDR扩展威胁检测响应赛道的网络安全公司，我们也是国内第一个发布XDR的安全厂商。今天和大家分享的内容主题是《SOAR：为XDR扩展威胁检测响应提供响应解决方案》。

本次分享主要从以下三个方面展开：
1. XDR扩展威胁检测响应
2. 安全运营快速响应
3. SOAR：安全运营快速响应解决方案

安全层面最本质的问题是检测与响应，而当前的检测与响应，还存在着一些痛点和难点亟需解决，响应运营层面仍存在着一些挑战。

各类安全防护设备每天会产生大量的安全告警，使得安全分析人员绝大部分时间和精力都“消耗”在告警信息中，导致高价值的告警往往淹没在了海量告警当中，无法第一时间发现和阻断攻击，并且高价值的告警因为无法获得更多的攻击上下文而会被忽略，也错过了最佳的防御时间。

发现上报的告警，也面临着攻击溯源难的问题，比如看不清完整的攻击链路，缺乏全威胁的视角，黑客是怎么打进来的，利用了什么漏洞打进来的，先打了哪台主机，在主机上又做了什么事情，是怎么进行横向移动的，影响面有多大，又造成了什么损失，这一些都是在攻击溯源上面临的难点。

海量告警同时也带来了运营的压力，各个安全防护产品间的数据孤岛造成的分析需要在不同平台之间进行来回的切换，分析取证的路径长且耗时，缺乏自动化的分析、研判以及处置手段等等这些都造成了安全运营处置的效率低下。

面对新形势下的安全挑战，安全运营工作需要进一步的“左移”，需具备提前发现潜在风险，提前阻隔威胁的能力，需要细粒度且有效的安全度量能力和手段。

点击查看完整文章