Soar

SOAR 全称 Security Orchestration, Automation and Response，即安全编排自动化与响应，最早由Gartner在2015年提出。 安全团队注重威胁检测，往往购买了各种安全设备，同时自研安全产品，试图通过增加检测功能，追求更小的MTTD(平均威胁检测时间)，以及更大的威胁检出率。但面对外部日新月异的攻击手法，频频爆出的高危漏洞，不断增加的安全服务，企业安全运营面临巨大的压力，一方面出现安全人力不足，另一方面，对安全运营的专业能力要求过高。这个时候，急需一个系统来提升安全运营的标准化和自动化水平。 SOAR提出了通过事件智能分析、事件编排、安全工具整合的方式，加快事件的快速预警和响应，从“人到安全工具”交互转变为“机器到安全工具”交互，应急响应转换为持续自动化响应，从而降低人工成本、降低MTTR、提高安全运营生产力。近来SOAR产品备受关注，目前国内比较知名的厂商有雾帜智能，绿盟，盛华安，360等，阿里云-云安全中心也上线了SOAR相关功能，如自动化溯源等。国外有Rapid7/Splunk也很早在SOAR领域开始了布局。 SOAR作为安全编排与自动化，情报和事件响应平台融合的新兴安全解决方案，可以帮助企业在有限的人力下，处置更多的威胁，降低MTTR(平均威胁处置时间)。爱奇艺内部引入SOAR之后，通过开发安全组件拉通各个安全服务

Gartner的研究方法论还是比较科学，研究结论也有很高的参考价值。但需要注意一点，Gartner的研究基础是欧美市场，中外网络安全市场差异还是比较大，因此建议不要硬搬硬套相关结论。需要多考虑一下国内外环境差异，技术成熟度、产业链交易结构等方面差异，以及这些差异的影响。别被Gartner的研究结论带沟里就行，比如CASB。也有一些领域由于市场差异导致市场空间存在显著差异，如IDaaS。这些差异对于投资非常关键，这里说的是广义的投资，在我们来看企业新的业务培育本质也是一种投资行为。 借用郭德纲的话，我们要批判地学习。 在给出今年的八大趋势之前，Gartner对宏观形势进行了介绍并分析了疫情的影响。很难找到并留住合适的安全人才；消费者对隐私的重视程度提升以及合规要求的加强；SaaS、虚拟化、容器等技术的广泛使用让应用越来越复杂；终端多样性，管理更困难；另一方面，攻击者提升技术能力，试图窃取你的数据。这些都是组织在安全管理过程中面临的挑战，这些都是现实存在且不以你的意志为转移。疫情中各个组织受到的影响是不同的，IT基础设施的现代化是关键。疫情也加速很多趋势的进程，比如移动办公、数据中心上云，云交付和服务导向型产品成为主流。原来部署在本地的安全工具作用越来越弱，安全工具需要适应这些变化。 威胁趋势 1.拓展检测与响应 XDR XDR解决方案在主流市场中开始逐渐取代SOC和SOAR

近几年互联网公司数据安全已从单兵作战逐步发到到团队作战，分工上也朝着精细化运营、风险模型建设、数据安全平台建设等细分方向专业化演进。 一、定位与目标 近几年互联网公司数据安全已从单兵作战逐步发到到团队作战，分工上也朝着精细化运营、风险模型建设、数据安全平台建设等细分方向专业化演进。 其中数据安全运营定位：数据分析(掌握核心技术)—数据安全运营(背锅+其它)– 业务(价值方)，数据安全运营渐渐成为公司数据安全团队与业务沟通、项目推进及价值输出(赋能)的窗口，数据安全的核心在运营能力，数据、模型、工具都是手段，通过运营实现对业务的价值输出目标，运营不仅仅要懂技术，还要做到既要、还要的更高要求。 我理解的数据安全运营： 风险管控能力：识别、治理、收敛，在过程中结合业务特征提炼真实的风险场景、及隐私要求通过技术手段实现对法律法规的遵从性–来自业界大佬语录(一般管理手段与安全管理、合规团队联合推进)，并建立匹配的治理方案及工具、方法论; 运营赋能业务： 关键数据支撑业务决策，影响业务在风险环节的资源投入; 基础工具、组件服务支持，安全能力左移(前置)，降低业务安全上的成本。 二、工作方法 1. 目标设定 起步阶段，找业界同行Top1-2家公司这方面的目标设定作为参考，根据不同业务、数据安全的发展阶段，设定目标; 发展阶段，对比自己的历史数据，参考业界指标，设定目标; 特殊时期的阶段性目标

Last month, the ChainLink ICO completed $32 million in financing. ChainLink (Link) provides middleware for the blockchain's "smart contracts" to call external data. Smart contracts, also known as self-executing contracts, are one of the promising application scenarios for blockchain technology. It allows companies and individuals to set up service level agreements with each other. For example, if an airline begins to offer a smart contract, the flight will be delayed by more than one hour on a certain day, and the airline will refund you 20% of the fare. Or, in the process of transporting the

白山云科技 从青黛画眉、胭脂染唇，到如今形形色色的美妆产品层出不穷；从中医正骨徒手整形，到国内外研制的各种针剂、仪器创造千亿级市场；从“女为悦己者容”，到“女为己悦而容”的时代更迭中……对于美的追求，在东西文明的碰撞融合、医学和科技的演进升级中不断加深，“求美”也成为更加大众、日常、便捷的消费行为。 饿了么数据显示，2020年天猫双十一第一波售卖期，医美医疗订单量环比增长近7倍，成为最受欢迎的生活服务项目。“囤医美”，已然成为消费者双十一剁手的新姿势。 中投顾问报告也表明，进入21 世纪后，世界范围内医疗美容行业已成为仅次于汽车业和航空业的第三大产业。新趋势催生新业态， “互联网+医美” 在近年来迅速崛起，加快了医美数字化、智能化步伐。新氧、更美、悦美等第三方医疗服务平台的出现更极大提高了医院与求美者之间的匹配效率。 然而，人们在享受数字化便利时，信息安全问题却时常被忽略。相比而言， 医美平台兼具医疗与互联网的双重属性 ，信息环境复杂，既要对接医院的数据系统，又要对接广大求美者，每一个环节都有可能造成平台信息泄露。同时， 医美行业的信息敏感度更高 ，涉及求美者的信息不仅全面，而且关联度较高，求美者的隐私保护至关重要。 医美服务平台多存在 业务攻击量大、日记和评论被爬取、遭遇撞库、短信验证暴力破解等风险 。不法分子通过登录绕过、未授权访问、平行越权等手段，导致大量求美者的姓名、手机号

【前言】本文不是译文，是结合笔者自身体会的解读！不能代表Gartner的本意。如有不同观点，欢迎交流研讨。本文最初发布于个人微信“专注安管平台”上，发表于此时进行了修订，并增加了大量受限于微信而无法保留的网页链接。 1 概述 受疫情的影响，2020年中例行的Gartner安全与风险管理峰会被迫取消。终于，在2020年9月14~17日，2020年Gartner安全风险与管理峰会以线上会议的形式补上了。 会上，正式发布了 2020 年度的十大安全项目 ，发布人还是Brian Reed。 2020 年的十大安全项目分别是： 1) 远程员工安全防护，尤指零信任网络访问（ZTNA）技术； 2) 基于风险的弱点管理，重点是基于风险来对弱点分级； 3) 基于平台方式的检测与响应，特指扩展检测与响应（XDR）技术； 4) 云安全配置管理； 5) 简化云访问控制，特指云访问安全代|理（CASB）技术； 6) 基于DMARC协议的邮件安全防护； 7) 无口令认证； 8) 数据分类与保护； 9) 员工胜任力评估； 10) 安全风险评估自动化。 与2019年度的10大安全项目相比，变化比较大，根据Reed的说法，有8个新项目。 不过，在笔者看来，其实有三个2019年的热门项目保留了下来，包括 CSPM、CASB，以及弱点管理。其中CSPM项目名称保持不变，2019年的CASB变成了今年的“简化云访问控制”

2020年BCS北京网络安全大会已经结束。在8月15日晚间的《嘶吼夜话》栏目中，笔者有幸作为国内独立SOAR初创公司代表参加了当晚的一档直播讨论，题为《SOAR如何改变安全运营现状》。一个小时的时间很快就过去了，笔者也将自家的SOAR发布一年多以来实践的感悟跟大家进行了分享。现将直播时交流的主要议题和我的主要观点摘录如下，欢迎大家指正。 1、 SOAR是基于什么需求下产生的，SOAR的发展脉络、市场前景如何。 笔者观点： SOAR的产生是实战化安全运营的必然要求。随着热门越来越注重安全运营，尤其是希望真正能够落地运营，提升对抗的能力和效果，安全运营团队（尤其是大型的）基本都面临5个挑战： （1）人少事多：团队人员少，但事情多，压力大，工作负荷高，重保期间更是不堪重负，无法保持持续的工作强度和能力。而稍有松懈，就可能在对抗中前功尽弃。 （2）告警疲劳：需要处理的告警太多，尽管部署了各种“精准”的检测设备，但需要处置的告警依然很多，处置的过程也很繁琐。 （3）响应太慢：千辛万苦定位了问题，遏制、阻断和恢复的处置响应过程十分复杂，需要在不同的安全工具和系统之间来回切换，审批也不够及时，流程也不清晰。 （4）知识流失：安全运营、响应处置的过程主要靠经验，而有经验的运维人员的操作过程都在他们的脑子里，纸面化的操作规程操作性不强，各种经验和处置的过程缺乏总结积累和固化

作者介绍 梁铭图， 新炬网络首席架构师，十多年数据库运维、数据库设计、数据治理以及系统规划建设经验，拥有Oracle OCM、Togaf企业架构师（鉴定级）、IBM CATE等认证，曾获dbaplus年度MVP以及华为云MVP等荣誉，并参与数据资产管理国家标准的编写工作。在数据库运维管理和架构设计、运维体系规划、数据资产管理方面有深入研究。 一、背景 我们客户现场的Oracle运维团队需要对开发团队提交上来的Oracle数据库SQL脚本进行评审。众所周知，这个活儿看起来高大上，实际上单靠人工检查的话，耗时费事、效率低下且机械重复，是很难长期实施的。 根据SRE以软件工程方法解决运维问题的逻辑，我们当然需要使用自动化的工具来解决这个问题。 二、自动化审查 首先，Oracle运维团队将SQL评审经验总结为上百个评审规则，例如： 所有新建对象的SQL都需要在对象名的前面加上用户名； 创建SEQUENCE的SQL语句，需要指定CACHE值不小于200； delete和update等DML语句，必须带where条件； …… 用这些评审规则去 审核 一个个SQL，仍然是非常苦逼的活儿，我们需要一个自动化的工具来实现。为了不重复制造轮子，最好的方法当然是找一个开源的工具进行二次开发，经过团队讨论和反复验证后，最终采用了开源的SOAR进行二次开发实现。

安全理念 IT风险安全 信息安全 标准：ISO27001 云安全ISO27017 隐私安全ISO27018 生产网安全（DevSecOps） 业务开发（Dev） 运维（Ops）阶段 业界理念最佳实践 阿里：安全融入体系设计、自动化监控与响应、红蓝对抗与持续改进 安全架构理论 P2DR模型 策略保护检测响应 IPDRR模型 IATF核心思想是纵深防御战略 CGS框架 强调4大功能：治理，保护，检测，响应与恢复 ASA 自适应安全架构 ：组织检测响应与预测。主要体现在预测这一部分，借助如UEBA来分析学习 iACD 集成式自适应网络防御： 基本思想是通过soar来实现集成式的自适应安全架构 网络韧性架构 大型安全体系建设指南 初期实施快速消减策略。 一：清理webshell， 二：部署统一管理的EDR安全产品，生产环境下统一使用堡垒机进行审计管理。 三：通过弱口令扫描器检测公司员工账号和内网所有涉及密码的服务系统。 iso27001规定信息安全管理体系的要求，iso27002提高实践指导 BSiMM由软件安全架构，软件安全小组，软件安全计划组成。 BSIMM之于软件安全，ISO27001之于信息安全 威胁情报 GOSINT威胁情报收集处理框架，借助官方API收集威胁情报 Spiderfoot 自动收集各种威胁情报信息。 查询综合性威胁情报比较好的工具有IBM X-Forcee

现在网上很多应用都是用二维码来分享网址或者其它的信息。尤其在移动领域，二维码更是有很大的应用场景。因为项目的需要，需要在网站中增加一个生成二维码分析网址的功能，在谷歌大幅度抽筋的情况下无奈使用百度。百度N多，找到一些项目，但是可用性不强。（有一个项目是用VS2005开发的，在2010中调试不开。）终于在codeplex上找到一个“神器”，这个“神器”可以很方便的生成二维码，速度那是相当的快，并且可支持中文，遵从MIT协议。 QrCode.Net是一个使用C#编写的用于生成二维码图片的类库，使用它可以非常方便的为WinForm、WebForm、WPF、 Silverlight和Windows Phone 7应用程序提供二维码编码输出功能。可以将二维码文件导出为eps格式。 项目地址为: http://qrcodenet.codeplex.com QrCode.Net不再采用 http://code.google.com/p/zxing/ ZXing的端口，新的版本将有更好的性能。 测试结果如下（微秒）： 输入字符串长度：74个 EC performance 1000 Tests~ QrCode.Net: 3929 ZXing: 5221 同时，QrCode.Net可以对字符串进行分析，决定是否使用UTF-8编码。（比如使用中文的时候。） QrCode使用方法：