专注安管平台 - SOAR:从旁观者到参与者,越来越多客户入场

作者:Benny Ye
SOAR已经出现了5年以上,目前依然处于Gartner炒作曲线的高峰阶段。笔者正式从事SOAR领域也有4年。尽管Gartner对SOAR的定义几经变化,但近几年一直比较稳定,将SOAR定义为“安全事件响应平台、安全编排与自动化以及威胁情报的集合,通过安全运行任务中技术性和非技术操作的(部分)自动化,助力提升安全运行人员的工作效率”。Forrester通常喜欢形成自己的一套概念和术语定义,但在SOAR这个术语上,跟Gartner保持高度一致。Forrester将SOAR定义为“一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术,实现对安全事件的分诊、协调,并采取基于剧本的协同行动”。
随着业内对SOAR概念达成共识,SOAR技术也在日益成型,越来越多的客户已经开始将SOAR用于自身的安全运营实战。
在2021年11月份,美国负责国家民事网络安全的主责部门CISA(网络安全与基础设施安全局,隶属于国土安全部)发布了第四版战略性技术路线图,描绘了2022年到2026年的未来5年间美国政府需要重点投资的3个战略性性技术方向和18个能力需求。这其中就包括了SOAR技术。
image.png
对于SOAR的定义,CISA跟业界是一致的:
SOAR使用与组织中(或者与这些组织相连)的安全传感器和其它技术平台的连接来自动执行安全操作。SOAR技术可以配置为一系列操作组成的剧本或者工作流。这些操作包括响应动作,譬如告警分诊、隔离用户会话、运行漏洞扫描、开具工单、更新签名、警告分析师等。通过这种方式,剧本安全组织提供了一种机制来自动化以前由安全运行人员手动执行的(部分)流程。
image.png
报告表示,通过各个供应商的大规模投资(自研或者并购),SOAR市场正在迅速成熟。
CISA认为近两年内SOAR技术在美国政府处于“证明”(demonstration)阶段。所谓“证明”阶段是指该技术已经获得了充分的研发,值得考虑如何将其应用到日常的实际生产运行环境中去,包括进行试点、原型验证、模拟验证,以及进行大规模实验等。该阶段的重点是在控制好部署风险的同时维持该技术的价值主张,以证明其集成到运营中的合理性。
此外,包括DHS和DOD下属的DARPA都安排了跟SOAR有关的课题项目。DHS也曾经委托约翰霍普金斯大学的APL实验室针对几个州搞过SOAR的试点。没错,就是那个受NSA委托研究IACD(集成自适应网络防御)框架的APL实验室。
总之,透过CISA的这份报告,可以清晰地体会到SOAR作为美国政府面向未来5年网络安全建设的战略性技术,被寄予厚望。同时,当前SOAR技术发展迅猛,美国政府已经从早期的观望转而开始进行各种试点。
从美国政府对SOAR的态度,延展到北美和欧洲的SOAR市场,我们看到的也是一幅如火如荼的景象。除了美国公司,我们也看到不少欧洲公司进入这个市场,很多SIEM厂商都纷纷进入这个市场。Forrester刚刚发布的SOAR报告显示,全球范围的客户纷纷都在实践SOAR。
回到中国市场,正如笔者去年底与安全牛就SOAR报告所作的访谈中叙述的那样,目前中国客户(尤其是头部客户)对SOAR正在迅速从旁观者向参与者转变。早前,他们更多是问谁在做SOAR?做得怎么样?现在越来越多会问如果我做会有什么效果?以前更多是理念的探讨,现在越来越多实战场景化的研究(譬如POC),看案例,看效果。而国内参与SOAR市场的厂商也大量增加,不仅有独立的专业SOAR产品,也有将SOAR功能打包到各种平台产品中的泛SOAR产品。如今,SOAR的意义已经显而易见,更多需要的是客户和厂商携手用落地来证明其实际价值。
当然,SOAR作为安全运行自动化领域的一个平台、工具和技术,其实际价值的发挥受限于当前国内整个安全运行成熟度水平。但笔者相信SOAR所代表的未来。
正如笔者多次跟Forrester和Gartner分析师沟通的那样,无论SOAR的产品形态未来会如何变化,SOAR技术作为安全自动化的代表,作为DevSecOps低代码/无代码开发趋势的代表,会在很长时间内占据一席之地。而笔者猜测,这也是为什么美国政府将SOAR列为战略性网络安全技术的关键原因。

参考

安全编排自动化与响应(SOAR)技术解析

深入研究SOAR的核心能力——安全编排与自动化

在BCS大会嘶吼夜话栏目中畅聊SOAR

白皮书:安全运行迎来SOAR时代