2022年4月15日,Forrester 正式对外发布了《Now Tech: SOAR Q2,2022》报告,分析了全球 SOAR 技术市场。 在报告中,Forrester 将 SOAR 定义为 “一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术,实现对安全事件的分诊、协调,并采取基于剧本的协同行动”。 Forrester 表示,“安全团队面临的三大挑战之一是日常战术活动占用太多时间。安全运营团队疲于应对持续告警,被迫进行手动调查,操作一系列令人眼花缭乱的工具去响应告警。” 而 SOAR 为安全团队提供了自动化解决重复性任务的方法,通过单一技术来协同各种工具。根据 Forrester 报告,SOAR 技术的目标是让安全运营更快、减少出错机率,并且更加高效。 这是 Forrester 第二次发布专项 SOAR 报告,上一次则是在 2018 年。当时 Forrester 将 SOAR 称呼为 SAO(安全自动化与编排)。Forrester 一贯喜欢用自己的观点来命名新概念和新技术,并不在意 Gartner 如何命名。Forrester 当时给 SAO 的定义是:“对跨多种技术的安全流程提供自动的、协同的和基于策略的操作的产品,使得安全运营更快、减少出错几率,并更加高效。” 那么,为什么后来将 SAO 改为 SOAR?笔者就此咨询过 Forrester 分析师 Allie Mellen,她表示当时 Forrester 认为响应(R)仅仅是 SAO 的一个应用场景,而将技术聚焦在自动化与编排上。后来,越来越多的 SAO 厂商将 R 作为其产品的基本功能,并且基本上大部分 SOAR 厂商都主打 R。也就是说,当前安全编排自动化主要还是用在 R 方面比较多。同时,SOAR 这个称呼也已经成为业内共识,Forrester 也就没有必要再继续 SAO 这个称呼了。 以上变化从侧面说明,业内(包括甲方和乙方)SOAR 的基本概念、定义与目标基本达成共识。这也为 SOAR 快速发展铺平了道路。 通过客户调研,报告发现,客户对 SOAR 的诉求主要体现为三个方面: 1)告警分诊与归并:对来自诸如 SIEM、EDR、NAV(相当于 NDR)及邮件安全的告警进行归并、去重、分诊。【注:这个需求也阐述了 SIEM 与 SOAR 的基本区别】2)自定义的告警富化:通过额外的情境数据去丰富告警信息,譬如引入威胁情报。【注:相当于对告警的二次研判】3)编排(和自动化)响应:对第三方工具的相应操作进行各种编排,并将响应操作自动化,譬如例如隔离端点、限制用户访问或强制执行基于身份的操作(如密码重置或多因素身份验证)。 为了深入分析 SOAR 功能,Forrester 将 SOAR 市场分为五种类型: 1)作为安全分析平台产品的一部分。【注:这里的安全分析平台(SAP)基本等同于 SIEM,或者安管(SOC)平台产品。简单的理解就是 SOAR 作为 SIEM 的功能组成部分】2)作为安全分析套件中的独立产品。【注:这里的安全分析套件也就相当于 SIEM 或者安管(SOC)平台解决方案/产品组合。这就是说 SOAR 是安管平台产品组合中的一个相对独立的产品,既可以独立售卖,也可以与该供应商自己的安管平台打包到一起整体售卖】3)作为可与威胁情报整合的独立产品。【注:也就是说,SOAR 既可以独立售卖,也可以与自家的威胁情报产品打包到一起售卖】4)作为单一产品。 5)作为自动化套件中的独立产品。【注:表示既可以独立售卖,也可以与自家的基础设施及网络自动化产品整体销售】Forrester 建立了一个 SOAR 能力集合,并针对上述 5 类产品(厂商)分别标定了不同的权重。这个能力集合包括:云部署、案例管理、定制化工作流程、独立售卖性、开箱即用剧本、企业级集成、与安全分析平台的集成性、与安全技术的集成性、与 TIP 的集成性、自动化度量、每用户价格、报告和仪表板。 报告列举了 31 家 SOAR 厂商。笔者发现,这些厂商主要来自美国,同时还有来自欧洲(英国、丹麦、荷兰)的公司,以及来自以色列、印度的公司,当然还有来自中国的公司。此外,有 7 家公司的 SOAR 是作为 SIEM 的一个功能模块存在的。而根据笔者自己的调研,将 SOAR 作为 SIEM 功能模块的厂商远不止 7 家,目前大部分 SIEM 厂商都宣称自己具备 SOAR 功能。 Forrester 提示用户,要上 SOAR,做好规划是最首要的。 Forrester 建议用户: 1)对自动化可以解决的问题建立合理的预期。在采用 SOAR 的最初几年,实施 5-10 个剧本即可,不要试图建立过多的剧本。要知道,对复杂且不一致的工作流程进行自动化并非易事,也不可能实现完全的自动化,首先识别并自动化那些一致性好且重复性的流程。报告建议用户可以先从告警丰富化着手。 2)应该购买 SOAR 之前定义出可以自动化的检测与响应流程。SOAR 剧本有赖于其所对应的流程的定义程度。 3)与其它业务领域的自动化人员做好协调沟通。很少有客户的安全团队能配备一支安全自动化的专家队伍,通常只有一个安全分析师来维护 SOAR。用户应该多跟其它自动化团队和人员进行沟通与协作。 4)要有资源进行持续维护。SOAR 不是一劳永逸的技术。根据需要集成的工具、剧本和场景的数量,用户可能需要一到多名全职人员才能搞定。 5)眼界要超越检测与响应。有的 SOAR 产品可以提供比检测和响应更多的价值。譬如漏洞管理协调、指标收集与仪表板、案例管理能力,等等。【注:正如前文所述,R 是 SOAR 的一个应用场景,尽管是主要场景,但不是全部。笔者也多次表达过类似观点:人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标】
作为 SOAR 产品从业者,笔者一直十分看好这个领域。从去年开始,笔者跟负责该报告的 Forrester 分析师 Allie Mellen 女士有过多次沟通,收到了很多国际 SOAR 发展趋势的新鲜资讯和分析师观点,也向她分享了中国 SOAR 市场的情况。顺便提一下,Allie Mellen 目前主打研究领域是当下最热的 XDR,笔者将来分享 XDR 的观点时还要提到她。 总之,当前,SOAR 的基本共识已经形成,SOAR 的应用已经从观望期进入了试水期,SOAR 未来可期。