随着网络技术的发展和网络安全意识的提升,国内外大中型企业大多已经建立了相对比较完备的安全运营中心,但传统安全运营存在种种局限。大量的安全事件和告警、对安全人员的高度依赖、非标准化的安全运维流程,都造成安全响应不及时、精准度较差、安全运营机制低效,进而导致整体安全运维能力低下。
安全编排和自动化响应(SOAR)通过编排和自动执行安全剧本,在减少误报的同时极大的降低了安全响应的时间,从而提高了企业整体的安全运维效率和能力。
2019 年,Gartner 将 SOAR 评为 “Top9 安全和风险技术趋势”,并预测 2022 年全球约 30% 的大中型企业将会进行 SOAR 平台的建设。其应用前景受到普遍认可,对于安全厂商有着重要的投资和布局价值。
红华资本立足安全编排和自动化响应市场,集合行业专家、创业团队和第三方服务机构的观点,剖析我国安全编排和自动化响应市场的现状与未来,分析了 SOAR 产品的工作机制、解决痛点、发展历程、市场规模、驱动因素、竞争格局和发展前景,希望本文可以为关注中国网络安全产业发展的各界读者提供参考与借鉴。
一、行业概览
1.1 基本概念
SOAR 是可以实现工作流程编排与自动响应的安全运营方案
SOAR=安全编排 (Security Orchestration)+ 自动化 ( Automation)+ 响应 (Response),适用于大量重复且需要人工参与的在线安全工作场景,通过自动化工具提高安全人员的工作效率,增强威胁检测和响应等活动安全效果和整体安全运维能力。
SOAR 在安全系统与产品交互的全流程如下图所示:
1.2 工作机制
剧本设计
剧本是安全运营流程在安全编排系统中的形式化表述,将安全设备作为原子化的动作并按照一定的顺序和逻辑进行组合,形成剧本,降低连接各个系统的编程难度。
安全编排
将现有的安全能力编写成应用和动作,实现可编排指令与实际系统对接。通过拖拽等可视化方法实现自动化编排,通过编排好的剧本执行自动调度和联动安全设备。
应急响应
通过解决安全事件处理中协同工作和过度依赖人工的两大问题可以达到快速开展标准化、自动化的应急响应处置,提升应急响应的水平。
完善剧本和编排流程
在日常的安全事件处理场景中将人工分析事件的流程总结形成完整的处置过程可以对安全剧本不断优化,形成固化的流程最终达到高效运维的目的。
1.3 主要功能
传统安全运营存在种种局限,对安全人员的技能高低依赖性较高,缺乏高效准确的安全运营机制,面对的几大痛点:
- 疲于应对海量的告警事件和操作平台
- 对专业安全人员的依赖性过高
- 传统的人工运维流程效率过低
SOAR 通过编排和执行安全剧本的方式,提升企业安全团队的运维效率。SOAR 从提高告警分析的精准度和将安全处置流程标准化两大方面全面提升安全事件流程处置的效率,优化传统 SIEM/SOC 中冗余的工作。
二、市场分析
根据《2019 年卡巴斯基应急响应报告》,亚洲地区应急响应事件占全球事件总数的 4.6%。其中工业、金融及政府等行业收到安全威胁比重相对较大;其在响应事件总数占比分别为 29.5%、16.3% 及 15.5%。预计 2023 年全球 SOAR 市场规模为 5.5 亿美元,中国市场按 1% 计算即 550 万美元,折合人民币 3700 万元。预计 2025 年全球 SOAR 市场规模为 23 亿美元,中国市场按 1% 计算即 2300 万美元,折合人民币 1.5+ 亿元。
主要聚焦于金融保险证券、运营商、能源、政府组织、交通等行业的中大型企业的安全团队。
根据信通院《国内网络安全信息与事件管理类产品研究与测试报告》,在安全编排自动化与响应能力方面,多数受测产品未体现出相关能力优势;所有受测产品中仅 3 家完全支持,大多数产品具备基本的告警功能,但自动化编排响应能力有待完善。
三、竞争格局
3.1 海外 SOAR 行业竞争格局
海外头部综合厂商多通过收购完成 SOAR 产品的扩充,且 SOAR 的使用多集成于其 SIEM 平台或与其他产品配合使用。专业 SOAR 厂商多处于第二梯队,其产品差异性不大,且单品营收远低于综合性厂商,竞争空间受头部厂商挤压。
3.2 国内 SOAR 行业竞争格局
SOAR 产品技术门槛高,产品功能侧重有所不同,国内市场刚开始起步,功能尚在摸索阶段。目前各厂商在产品层面尚未形成绝对优势,竞争差异主要体现在渠道的销售能力和交付团队的服务水平。
四、发展趋势
4.1 SOAR 方案逐渐得到市场和厂商认可,应用前景广泛
2016 年以来,海外 SOAR 赛道并购频发 Service Now 收购后将 SOAR 产品与其 SIEM 平台 QRadar 集成,形成 SOAPA 解决方案;Splunk 收购后将 SOAR 产品嵌入其 SIEM 平台,并用于 IT 操作场景……
SOAR 产品的未来发展方向:
- 技术方向:将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中;
- 安全能力:在技术快速演化的同时,SOAR 的内涵可能也会变化、但围绕安全运维、聚焦安全响应的目标不会变;
- 产品形态:类似 SOC/SIEM 的平台,自身也收集、留存数据。
4.2 SOAR 产品能够和其他安全产品进行广泛集成
SOAR 产品可对接多个安全平台,触达其它安全产品无法采集的数据,并形成完整工作流,解决产品碎片化严重、操作困难的问题,提升整体安全运维能力,其应用前景受到普遍认可。 由于 SOAR 提供的是需要操作员编程的实用功能,仅适合成熟的组织使用,而不太成熟的组织或倾向于将其安全操作外包的组织则缺乏兴趣。