专注安管平台 - Forrester:2022年SOAR技术市场报告
2022年4月15日,Forrester正式对外发布了《Now Tech: SOAR Q2,2022》报告,分析了全球SOAR技术市场。

在报告中,Forrester将SOAR定义为“一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术,实现对安全事件的分诊、协调,并采取基于剧本的协同行动”。
Forrester表示,“安全团队面临的三大挑战之一是日常战术活动占用太多时间。安全运营团队疲于应对持续告警,被迫进行手动调查,操作一系列令人眼花缭乱的工具去响应告警。”而SOAR为安全团队提供了自动化解决重复性任务的方法,通过单一技术来协同各种工具。根据Forrester报告,SOAR技术的目标是让安全运营更快、减少出错机率,并且更加高效。
这是Forrester第二次发布专项SOAR报告,上一次则是在2018年。当时Forrester将SOAR称呼为SAO(安全自动化与编排)。Forrester一贯喜欢用自己的观点来命名新概念和新技术,并不在意Gartner如何命名。Forrester当时给SAO的定义是:“对跨多种技术的安全流程提供自动的、协同的和基于策略的操作的产品,使得安全运营更快、减少出错几率,并更加高效。”
那么,为什么后来将SAO改为SOAR?笔者就此咨询过Forrester分析师Allie Mellen,她表示当时Forrester认为响应(R)仅仅是SAO的一个应用场景,而将技术聚焦在自动化与编排上。后来,越来越多的SAO厂商将R作为其产品的基本功能,并且基本上大部分SOAR厂商都主打R。也就是说,当前安全编排自动化主要还是用在R方面比较多。同时,SOAR这个称呼也已经成为业内共识,Forrester也就没有必要再继续SAO这个称呼了。
以上变化从侧面说明,业内(包括甲方和乙方)SOAR的基本概念、定义与目标基本达成共识。这也为SOAR快速发展铺平了道路。

客户对SOAR的诉求主要体现为三个方面

通过客户调研,报告发现,客户对SOAR的诉求主要体现为三个方面:

  1. 告警分诊与归并:对来自诸如SIEM、EDR、NAV(相当于NDR)及邮件安全的告警进行归并、去重、分诊。【注:这个需求也阐述了SIEM与SOAR的基本区别】
  2. 自定义的告警富化:通过额外的情境数据去丰富告警信息,譬如引入威胁情报。【注:相当于对告警的二次研判】
  3. 编排(和自动化)响应:对第三方工具的相应操作进行各种编排,并将响应操作自动化,譬如例如隔离端点、限制用户访问或强制执行基于身份的操作(如密码重置或多因素身份验证)。

    SOAR市场分为五种类型

    为了深入分析SOAR功能,Forrester将SOAR市场分为五种类型:

  4. 作为安全分析平台产品的一部分。

注:这里的安全分析平台(SAP)基本等同于SIEM,或者安管(SOC)平台产品。简单的理解就是SOAR作为SIEM的功能组成部分

  1. 作为安全分析套件中的独立产品。

注:这里的安全分析套件也就相当于SIEM或者安管(SOC)平台解决方案/产品组合。这就是说SOAR是安管平台产品组合中的一个相对独立的产品,既可以独立售卖,也可以与该供应商自己的安管平台打包到一起整体售卖

  1. 作为可与威胁情报整合的独立产品。

注:也就是说,SOAR既可以独立售卖,也可以与自家的威胁情报产品打包到一起售卖

  1. 作为单一产品。
  2. 作为自动化套件中的独立产品。

注:表示既可以独立售卖,也可以与自家的基础设施及网络自动化产品整体销售
Forrester建立了一个SOAR能力集合,并针对上述5类产品(厂商)分别标定了不同的权重。这个能力集合包括:云部署、案例管理、定制化工作流程、独立售卖性、开箱即用剧本、企业级集成、与安全分析平台的集成性、与安全技术的集成性、与TIP的集成性、自动化度量、每用户价格、报告和仪表板。
报告列举了31家SOAR厂商。笔者发现,这些厂商主要来自美国,同时还有来自欧洲(英国、丹麦、荷兰)的公司,以及来自以色列、印度的公司,当然还有来自中国的公司。此外,有7家公司的SOAR是作为SIEM的一个功能模块存在的。而根据笔者自己的调研,将SOAR作为SIEM功能模块的厂商远不止7家,目前大部分SIEM厂商都宣称自己具备SOAR功能。
Forrester提示用户,要上SOAR,做好规划是最首要的
Forrester建议用户:

  1. 对自动化可以解决的问题建立合理的预期。在采用SOAR的最初几年,实施5-10个剧本即可,不要试图建立过多的剧本。要知道,对复杂且不一致的工作流程进行自动化并非易事,也不可能实现完全的自动化,首先识别并自动化那些一致性好且重复性的流程。报告建议用户可以先从告警丰富化着手。
  2. 应该购买SOAR之前定义出可以自动化的检测与响应流程。SOAR剧本有赖于其所对应的流程的定义程度。
  3. 与其它业务领域的自动化人员做好协调沟通。很少有客户的安全团队能配备一支安全自动化的专家队伍,通常只有一个安全分析师来维护SOAR。用户应该多跟其它自动化团队和人员进行沟通与协作。
  4. 要有资源进行持续维护。SOAR不是一劳永逸的技术。根据需要集成的工具、剧本和场景的数量,用户可能需要一到多名全职人员才能搞定。
  5. 眼界要超越检测与响应。有的SOAR产品可以提供比检测和响应更多的价值。譬如漏洞管理协调、指标收集与仪表板、案例管理能力,等等。

注:正如前文所述,R是SOAR的一个应用场景,尽管是主要场景,但不是全部。笔者也多次表达过类似观点人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标
作为SOAR产品从业者,笔者一直十分看好这个领域。从去年开始,笔者跟负责该报告的Forrester分析师Allie Mellen女士有过多次沟通,收到了很多国际SOAR发展趋势的新鲜资讯和分析师观点,也向她分享了中国SOAR市场的情况。顺便提一下,Allie Mellen目前主打研究领域是当下最热的XDR,笔者将来分享XDR的观点时还要提到她。
总之,当前,SOAR的基本共识已经形成,SOAR的应用已经从观望期进入了试水期,SOAR未来可期。

参考

安全编排自动化与响应(SOAR)技术解析

深入研究SOAR的核心能力——安全编排与自动化

在BCS大会嘶吼夜话栏目中畅聊SOAR