相较于上一版报告,SOAR 市场总体上没有太大的变化,譬如 Gartner 对 SOAR 的定义没有变化;SOAR 作为功能特性嵌入其他产品(如 SIEM、XDR、邮件安全)中的趋势越发明显,但大型客户依然青睐纯 SOAR 解决方案;SIEM 厂商对 SOAR 的收购步伐一直没有停止;SOAR 愈发被 MDR 服务商采用(对用户透明),并持续云化以满足中型客户的需要;阻碍 SOAR 发展的几个关键因素依然在于运营团队的成熟度以及被编排产品供应商的 API 不足;在上马 SOAR 的时候依然还是从五个方面(指标、流程、分析师、SOP、技术集成)去评估自身的就绪情况;依然建议用户从报警分诊、编排与自动化、案例管理与协作、仪表板与报告、威胁情报应用(以及今年新增的 “架构”)几方面去评估 SOAR 解决方案。
至于变化的部分,主要体现在出现了一些新的 SOAR 用例(使用场景),这些使用场景超越了传统的事件响应和漏洞响应,迈向更广泛的安全运营工作,并开始与低代码 - 无代码开发平台出现交集。对此,笔者在国内 SOAR 实践中也感觉到了这个趋势,已经在用户那里开发出了很多非响应类的剧本。而笔者在跟 Gartner 沟通的时候也反复强调这点,即:响应只是 SOAR 的一类应用场景,还有很多其它安全运营的工作场景可以用到编排和自动化技术。笔者认为,SOAR 正在从安全编排自动化响应向安全编排自动化运营平台(SOAP)转变。
还有一个变化在于最新版报告中在给用户选型 SOAR 的建议中增加了对架构的评估建议。这里的架构评估包括部署模式(本地部署还是云部署)、高可用部署、高性能部署、RBAC、许可模式,以及像作战室这类的即时沟通工具。对于作战室,笔者也颇有感触,很多国内客户对此比较喜爱。本质上,作为 SOAR 其价值在于自动化,而作战室是反自动化的,但作战室的价值恰恰就在于对于那些无法自动化的工作实现基于 chatops 的高效协作式处置,最终还是提升了处置效率。如果说促进人机协同,机机协同是 SOAR 的基本使命,那么促进人人协同是 SOAR 的高级使命,也是更根本的使命。这里的人人协同,不仅是指作战室这类 chatops 工具,还包括流程化的 SIRP 所代表的安全事件响应闭环(譬如将 Level1,2,3 级的分析师协同起来)。所以笔者一直强调(包括跟 Gartner 沟通的时候),SOAR 的内涵在于:人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。