SOAR资讯 (转载)Gartner2022 年 SOAR 市场指南报告评述

fisherman · 2022年12月26日 · 403 次阅读

我们说安全的本质是对抗,而对抗是一个永无止境的过程,这个过程就叫 security operations(安全运营/运行/运维/行动/作战/……),简称 secops。 欢迎进入 secops 的世界! 我们下面讲到的 SOAR 展现了 secops 中自动化、编排化、智能化的一面。

2022年6月16日,Gartner 正式发布了《2022 年 SOAR 市场指南》报告。这份报告是对 2020 年 9 月的同名报告的更新版。本来 Gartner 计划在 2021 年发布这份报告的,但由于主笔分析师(Claudio Neiva)以及其他几名合作分析师(Toby Bussa, Gorka Sadowski)纷纷离职,被耽搁了下来。BTW,近几年 Gartner 走了好几个安全运营领域的分析师,纷纷去到乙方,譬如 Toby Bussa 先是去了 Bugcrowd,现在 ThreatConnect 做产品行销 VP,Gorka Sadowski 去了 Exabeam 做首席战略官,此外 Augusto Barros 去了 Securonix 做布道师,Anton Chuvakin 则在更早前去了 Chronicle,现属于 Google 云。幸好 Craig Lawson 还在,做了这次报告的主笔,带上新来的分析师 Al Price。

一、总体评述 正如 Craig Lawson 所言,相较于上一版报告,SOAR 市场总体上没有太大的变化,譬如 Gartner 对 SOAR 的定义没有变化;SOAR 作为功能特性嵌入其他产品(如 SIEM、XDR、邮件安全)中的趋势越发明显,但大型客户依然青睐纯 SOAR 解决方案;SIEM 厂商对 SOAR 的收购步伐一直没有停止;SOAR 愈发被 MDR 服务商采用(对用户透明),并持续云化以满足中型客户的需要;阻碍 SOAR 发展的几个关键因素依然在于运营团队的成熟度以及被编排产品供应商的 API 不足;在上马 SOAR 的时候依然还是从五个方面(指标、流程、分析师、SOP、技术集成)去评估自身的就绪情况;依然建议用户从报警分诊、编排与自动化、案例管理与协作、仪表板与报告、威胁情报应用(以及今年新增的 “架构”)几方面去评估 SOAR 解决方案。 至于变化的部分,主要体现在出现了一些新的 SOAR 用例(使用场景),这些使用场景超越了传统的事件响应和漏洞响应,迈向更广泛的安全运营工作,并开始与低代码 - 无代码开发平台出现交集。对此,笔者在国内 SOAR 实践中也感觉到了这个趋势,已经在用户那里开发出了很多非响应类的剧本。而笔者在跟 Gartner 沟通的时候也反复强调这点,即:响应只是 SOAR 的一类应用场景,还有很多其它安全运营的工作场景可以用到编排和自动化技术。笔者认为,SOAR 正在从安全编排自动化响应向安全编排自动化运营平台(SOAP)转变。 还有一个变化在于最新版报告中在给用户选型 SOAR 的建议中增加了对架构的评估建议。这里的架构评估包括部署模式(本地部署还是云部署)、高可用部署、高性能部署、RBAC、许可模式,以及像作战室这类的即时沟通工具。对于作战室,笔者也颇有感触,很多国内客户对此比较喜爱。本质上,作为 SOAR 其价值在于自动化,而作战室是反自动化的,但作战室的价值恰恰就在于对于那些无法自动化的工作实现基于 chatops 的高效协作式处置,最终还是提升了处置效率。如果说促进人机协同,机机协同是 SOAR 的基本使命,那么促进人人协同是 SOAR 的高级使命,也是更根本的使命。这里的人人协同,不仅是指作战室这类 chatops 工具,还包括流程化的 SIRP 所代表的安全事件响应闭环(譬如将 Level1,2,3 级的分析师协同起来)。所以笔者一直强调(包括跟 Gartner 沟通的时候),SOAR 的内涵在于:人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。

二、核心观点引述 SOAR 定义 SOAR 是一套将事件响应、编排与自动化,以及威胁情报平台的管理能力组合到一起的解决方案。 Gartner defines SOAR as solutions that combine incident response, orchestration and automation, and threat intelligence platform management capabilities in a single solution.

三、SOAR 市场的驱动力 安全技术市场普遍处于超载状态——预算和人员压力大,单点解决方案太多 成为组织普遍存在的问题。

四、SOAR 的发展阻力 安全运营团队缺乏成熟的流程和规程,加上预算和人员的限制,对更广泛的采用 SOAR 解决方案造成了阻碍。此外,供应商 API 整合时的成熟度参差不齐,也是导致 SOAR 无法取得更高的采用率的关键原因。 五、客户上马 SOAR 之前评估自身就绪状况的五个维度 这五个维度从基础到高级分别是:运行指标、已定义的流程、训练有素的分析师、文档化的工作流、支撑技术的集成。 在 2020 年的一份报告中给出了五个维度的关系图,如下所示: 以下是笔者的解读: 运行指标:就是要问自己,安全运营工作有没有度量?有没有量化的目标?如何衡量工作的好坏?如果没有度量,上 SOAR 之后的损益就没法计算。 已定义的流程:其实就是安全运营中的流程因素。关键运营工作有没有文档化的流程?可以参照执行的操作步骤? 训练有素的分析师:其实就是安全运营的人的因素。 文档化的工作流程:这里的工作流程比上面的流程更细,相当于 SOP,操作手册,能够指导技术人员一步步的执行。至少对于打算用 SOAR 的剧本来表述的工作流程要达到这个粒度。事实上,如果你写不出这个 SOP,也就写不出剧本。 支撑技术集成:就是要看自动化过程中涉及的各种技术能否通过 API 集成起来,得到必要的预授权,并且能够通过测试。 过去两年的主要并购事件 报告列举了 2020 年以来的 SOAR 领域并购事件,包括: 2020 年 1 月 FireEye 收购 Cloudvisory 2020 年 3 月 Fortinet 收购 CyberSponse 2020 年 4 月 Swimlane 收购 Syncurity 2020 年 7 月 MicroFocus 收购 ATAR Labs 2021 年 3 月 Sumo Logic 收购 DFLabs 2021 年 9 月 LogPoint 收购 SecBI 2022 年 1 月 Google Cloud 收购 Siemplify 笔者在《Gartner:2021 年 SIEM(安全信息与事件管理)市场分析》一文中列举了 2021 年以前的更多并购事件。

五、代表性供应商 相较于上一版报告,这次增加了 8 个供应商,包括 2 个中国厂商,2 个欧洲厂商,2 个云厂商(微软和谷歌,其中谷歌是收购了 Siemplify),2 个新派纯 SOAR 创业厂商(主打低代码 - 无代码的泛自动化工具/平台);同时,FireEye 下榜了。 此外,可以看到,一方面是 SIEM 厂商和云厂商大举收购纯 SOAR 公司,另一方面是纯 SOAR 创业公司层出不穷,足见这个领域目前有多么活跃,市场机会很大,未来各种可能性并存。

六、SOAR 市场未来走向 在这个报告中,Gartner 并未直接给出 SOAR 市场的未来发展趋势。但可以感受到的是,SOAR 作为一种能力和技术,会被不断嵌入到其他产品,尤其是 SIEM,XDR 产品中。但这也不意味着 SOAR 的消亡,至少从现在看,不会像 UEBA 那样从 Gartner 的 Hype Cycle 中下榜,并入 SIEM 中。因为,纯 SOAR 产品还受到大型客户的青睐。尤其是对于那些已经在安全技术和安全运营领域做了大量投入的客户而言,他们需要一个 “供应商中立” 的 SOAR 平台。即便是那些收购了 SOAR 厂商的 SIEM 供应商们,也没有将那些 SOAR 变成封闭性产品,而是依然作为一款开放性 SOAR 产品,保持与竞争对手的 SIEM 对接。 反观 SIEM,也许自身地位亦将不保。是的,XDR 来势汹汹,在《SIEM 的未来》一文中有所阐释,笔者还将另文阐释 XDR 与 SIEM 的战争。 所以,在未来几年内,按照 Gartner 的划分,市场上将会出现嵌入式 SOAR 产品和开放式 SOAR 产品。 所谓嵌入式 SOAR 产品,就是 SOAR 作为一个功能嵌入到其他产品中,不独立存在,甚至不与其它产品对接的一种形态。譬如嵌入到某些 SIEM 中,或者嵌入到 XDR 中。同时,嵌入到这些产品中的 SOAR 功能可能会相较于开放式 SOAR 产品的功能有所裁剪。 而开放式 SOAR 产品是指 SOAR 能够独立使用的,能够与广泛的第三方产品对接的一种产品形态。譬如以纯 SOAR 厂商身份独立存在。又或者作为 SOC 平台套件,安全分析平台套件、SIEM 套件、IT 运维平台套件的组成部分,既能与套件中的其他产品紧密协作,又能独立部署和运行,对接第三方厂商的产品。 Gartner 的这种划分,跟 Forrester 的划分本质上是一致的,只是表现形式不同罢了。

七、关于中国 SOAR 市场的判断 笔者在之前的文章《重新定义 SOAR》中已经给出了 SOAR 的中国定义。在这个文章里谈及了中国 TIP 市场的问题,谈及了 SOAR 的中国客户应用成熟度的问题。 需要补充的是,相较于国际上的 SOAR 产品而言,国内 SOAR,甚至是整个安全运营领域,存在一块短板,就是 SIRP(安全事件响应平台)。可以说,国外的 SOAR 是在 SIRP 已经成型的基础上发展而来的,而国内的 SIRP 则几乎为空白。记住,是 SIRP,而不是 SOA,才是真正实现安全事件响应闭环的支撑平台!不是所有事件都能通过编排和自动化来闭环!这块短板,笔者在 2019 年的文章就提出来过,在 2020 年也提到过。可以说,现在国内的 SOC 平台难担当此任,因此,国内 SIRP 的落地重担历史性地落到了 SOAR 身上。

总之,中国 SOAR 市场的热身时间已经结束,客户已经开始正式入场了。

原文:https://mp.weixin.qq.com/s/mXgHvpLyb4Db2U7NKMlEYw

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册