引言
传统安全运营存在种种局限。大量的安全事件和告警、对安全人员的高度依赖、非标准化的安全运营流程等,都造成安全响应不及时、精准度较差、安全运营机制低效,进而导致整体安全运营能力低下。 安全编排和自动化响应(SOAR)通过内置安全分析和响应专家知识模型并提供自动编排和响应能力,在减少误报的同时极大地降低了安全响应的时间,从而提高了企业整体的安全运营效率和能力。 我们通过集合行业专家、创业团队和第三方服务机构的观点,剖析我国安全编排和自动化响应市场的现状与未来。我们认为,SOAR 无疑是近几年国内网安行业的热点领域之一。未来随着企业安全运营要求的提升,SOAR 的需求将持续增长,该赛道对于安全厂商有着重要的投资和布局价值。但一个完善的 SOAR 需要具备多种能力,有较高的技术门槛,具体涉及威胁情报和其他分析工具整合能力、情报分析和事件响应的知识固化能力、结合用户自身运营流程形成的自动化机制以及与企业内部多种安全/非安全产品的集成能力。 在此分享安全运营领域专家、前 Gartner 分析师 Anton Chuvakin 的观点,也希望本文可以为关注中国网络安全产业发展的各界读者提供参考与借鉴。
2019 年 3 月, Anton Chuvakin 在博客中提到,“有两扇通向 SOAR 的成功之门: 自动化/编排优先:这条路径最容易导致毁灭,但它确实引导了一些开明的精英组织在 SOAR 中取得了巨大的成功; 工作流/案件管理优先:这条路径是无趣的,但我们认为大多数寻求采用 SOAR 的主流组织都会取得更大的成功。”
参考资料:
中国信息通信研究院《国内网络安全信息与事件管理类产品研究与测试报告(2021 年)》
卡巴斯基实验室《卡巴斯基安全报告 2019》
Anton Chuvakin,“Two Doors to SOAR Visual”,URL:https://blogs.gartner.com/anton-chuvakin/2019/03/08/two-doors-to-soar-visual/