全球范围内,越来越多的客户 SOAR 试点,实际落地 SOAR 技术。
作者:Bennt Ye
SOAR 已经出现了 5 年以上,目前依然处于 Gartner 炒作曲线的高峰阶段。笔者正式从事 SOAR 领域也有 4 年。尽管 Gartner 对于 SOAR 的定义几经变化,但近几年一直比较稳定,将 SOAR 定义为 “安全事件响应平台、安全编排与自动化以及威胁情报的集合,通过安全运行任务中技术性和非技术操作的(部分)自动化,助力提升安全运行人员的工作效率”。Forrester 通常喜欢形成自己的一套概念和术语定义,但在 SOAR 这个术语上,跟 Gartner 保持高度一致。Forrester 将 SOAR 定义为 “一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术,实现对安全事件的分诊、协调并采取剧本的协同行动”。
随着业内对 SOAR 概念达成的共识,SOAR 技术也在日益成型,越来越多的客户已经开始将 SOAR 用于自身的安全运营实战。
在 2021 年 11 月份, 美国负责国家民事网络安全的主责部门 CISA(网络安全与基础设施安全局,隶属于国土安全部)发布了第四版战略性数据路线图,描绘了 2022 年到 2026 年的未来 5 年间美国政府需要重点投资的 3 个战略性技术方向和 18 个能力需求这其中就包括 SOAR 技术。
对于 SOAR 的定义,CISA 跟业界是一致的:
SOAR 使用与组织中(或者与这些组织相连)的安全传感器和其他技术平台的连接来自动执行安全操作。SOAR 技术可以配置为一系列操作组成的剧本或者工作流。这些操作包括响应动作,譬如告警分诊、隔离用户会话、运行漏洞扫描、开具工单、更新签名、警告分析师等。通过这种方式,剧本安全组织提供了一种机制来自动化以前由安全运行人员手动执行的(部分)流程。
报告表示,通过各个供应商的大规模投资(自研或者并购),SOAR 市场正在迅速成熟。
CISA 认为近两年内 SOAR 技术在美国政府处于 “证明”(demonstration)阶段。所谓 “证明” 阶段是指该技术已经获得充分的研发,值得考虑如何将其应用到日常的实际生产运行环境中去,包括进行试点、原型验证、模拟验证,以及大规模的实验等。该阶段的重点是在控制好部署风险的同时维持该技术的价值主张,以证明其集成到运营中的合理性。
此外,包括 DHS 和 DOD 下属的 DARPA 都安排了跟 SOAR 相关的课题项目。DHS 也曾经委托约翰霍普金斯大学的 APL 实验室针对几个州搞过 SOAR 试点。没错,就是那个受 NSA 委托研究 IACD(集成自适应网络防御)框架的 APL 实验室。
总之,透过 CISA 的这份报告,可以清晰地体会到 SOAR 作为美国政府未来5年网络安全建设地战略性技术,被寄予厚望。同时,当前 SOAR 技术迅猛发展,美国政府已经从早期的观望转而开始进行各种试点。
从美国政府对 SOAR 的态度,延展到北美和欧洲的 SOAR 市场,我们看到的也是一幅如火如荼的景象。除了美国公司,我们也看到不少欧洲公司进入这个市场,很多 SIEM 厂商纷纷进入这个市场。Forrester 刚刚发布的 SOAR 报告显示,全球范围的客户纷纷都在实践 SOAR。
回到中国市场,正如笔者去年底与安全牛就 SOAR 报告所作的访谈中叙述的那样,目前中国客户(尤其是头部客户)对 SOAR 正在迅速从旁观者向参与者转变。早前,他们更多的是问谁在做 SOAR?做得怎么样?现在越来越多会问如果我做会有什么样的效果?以前更多是理念的探讨,现在越来越多实战场景化的研究(譬如 POC),看案例,看效果。而国内参与 SOAR 市场的厂商也大量增加,不仅有独立的专业 SOAR 产品,也有将 SOAR 功能打包到各种各样平台产品中的泛 SOAR 产品。如今,SOAR 的意义已经显而易见,更多需要的是客户和厂商携手用落地来证明其实际价值。
当然,SOAR 作为安全运行自动化领域的一个平台、工具和技术,其实际价值的发挥受限与当前国内整个安全运行成熟度水平。但笔者相信 SOAR 所代表的未来。
正如笔者多次跟 Forrester 和 Gartner 分析师沟通的那样,无论 SOAR 的产品形态未来会如何变化,SOAR 技术作为自动化的代表,作为 DevSecOps 低代码/无代码开发趋势的代表,会在很长时间内占据一席之地。而笔者猜测,这也是为什么美国政府将 SOAR 列为战略性网络安全技术的关键原因。