2022 年 7 月,Gartner 发布了最新的安全运营成熟度曲线(炒作曲线),SOAR 技术已经跌入失望的谷底。但从积极的一面来看,这表明在经历了不切实际的期待后,SOAR 已经完成了重新定位,人们对 SOAR 的认知已经回归理性,接下来就会慢慢成熟。
2018 年,SOAR 技术首次作为 “萌芽” 技术上榜 hype cycle,2019 年 “迈入期望的顶峰”,2020 年泡沫有所破裂,2021 年则开始滑入 “失望” 阶段,终于在 2022 年跌入了 “谷底”。如果熟悉 Gartner Hype Cycle,则可以知晓,如果这个技术还继续存在于曲线之上,那么接下来就会慢慢爬升,逐渐成熟。根据 Gartner 对 SOAR 的成熟度评定,标记为 “early mainstream”(早期主流),意味着它将开始向成熟阶段迈进。同时,大概率 SOAR 技术将继续存在,不会淘汰。
在报告中,Gartner 对 SOAR 的定义沿用了前不久的 SOAR 市场指南中的定义: SOAR 是一套将事件响应、编排与自动化,以及威胁情报平台的管理能力组合到一起的解决方案。 Gartner defines SOAR as solutions that combine incident response, orchestration and automation, and threat intelligence platform management capabilities in a single solution. SOAR 工具可用于许多安全操作任务,例如记录和实施流程;支持安全事件管理;向人类安全分析师和操作员提供基于机器的帮助;并更好地落地威胁情报的实战化。
报告将 SOAR 技术的价值评级设定为 “高”,认为 SOAR 工具非常灵活,可以应用于各种安全运营中心 (SOC) 和更广泛安全运营(SecOps)场景下的用例。当前的购买者往往是具有 SOC 功能的最终用户组织和安全服务提供商,他们希望优化其威胁监测、检测和事件响应活动的效率、一致性和有效性。SOAR 的威胁管理用例仍在不断涌现。
Gartner 强调,SOAR 解决方案的部署主要是为了协助 SOC 团队,在适用的情况下结合人类专业知识和自动化来自动化和协调事件响应流程。这种解决方案的另一个好处是能够通过利用自动化来提高分析师的效率。此外,SOAR 不会为用户创建所有流程和工作流——它只是帮助您运行它们——因此,除非您有一个拥有流程的团队,否则 SOAR 可能不是您的起点。
Gartner 反复强调了先流程后 SOAR 的观点,笔者也对此进行过展开讨论,并提出了在中国市场针对流程和 SOAR 相辅相成的一些独特思考。
在 SOAR 的驱动力方面,Gartner 首先列举了两个最基本的价值:
SOAR 可以提高经常折磨 SOC 的重复性任务的流程和执行速度,尤其是在耗时且需要很少人工专业知识的任务中。这使团队可以将更多时间花在关键任务和活动上——笔者注:这其实就是将简单确定的重复性工作机械化的自动化,在 IACD 中称之为 “低后悔度” 操作的自动化
SOAR 可以通过添加更多上下文和数据丰富来提高警报的保真度和可操作性。由于 SOC 团队需要处理大量警报,这有助于减少噪音——笔者注:这就是将 SOAR 用于事件调查、事件丰富化的过程,其目的不在于取代人的判断,而是辅助人去判断,提升人的判断效能。
此外,Gartner 还观察到了一个特别的驱动力——SOA(安全编排与自动化)作为 SOAR 的核心在安全运营中占据了越来越重要的位置,其它安全技术也开始融合 SOA,譬如邮件安全产品,XDR 等。而根据笔者的观察,很多新型的 SOAR 产品主打就是 SOA,并且开始引入 LCAP 的理念和技术。
对于 SOAR 的发展阻力,与市场指南中的论调一致:流程、流程、流程,还有维护!
SOAR 解决方案需要大量的前期工作才能正确配置,并且需要进行管理和维护以确保获得最大价值。需要使用和操作该工具的资源来处理活动,例如监控解决方案的运行状况、可用性和性能、更新和补丁,以及工作流和剧本的维护;
组织需要准备好记录的流程,以从手动工作流程或自动化工作流程功能中受益;
安全领导者应将 SOAR 技术的作用视为现有经过充分验证的流程的自动化,并从安全运营功能(例如警报)和部分自动化流程(例如事件分析和分类)中收集输入。
最后,Gartner 给用户的建议是:
在内部评估开发 SOAR 所需功能的各项能力的可获得性。安全领导者还应该审查为拥有 SOAR 工具集所需的附加时间和成本。
在确定 SOAR 的需求范围时,要顾及整个安全组织。组织必须超越将新技术简单地插入 SIEM 的想法,要从更广泛的安全运营视角去考虑。
根据自身的和实际需求和理解去选择合适的产品,例如 SOC 优化、威胁监测与响应、威胁调查与猎捕,以及威胁情报管理。
在采购 SOAR 之前定义出(尽可能)清晰的流程和剧本。尽管 SOAR 带来了很多好处,但并不是每个安全组织都准备好使用该工具,并且预留了大量时间来开发剧本。
显然,上述 SOAR 的价值定位、发展阻力和客户忠告都十分诚恳,展示了对 SOAR 的理性的再认知再定位,对于 SOAR 的健康发展大有裨益。
安全自动化是安全运营发展的必然,但也必须谨记,凡事没有银弹,人始终是决定因素,流程梳理是成功的关键,厂商可以只卖工具给客户,也可以将自身积累到的流程分享给用户,但无法代替用户自己的思考,自己的流程。
最后,还有一点,现阶段对 SOAR 的认知已经重新厘清了,不表示 SOAR 就定型了,事实上 SOAR 未来的应用场景还在不断扩展。正如 Gartner 所说:“SOAR 的威胁管理用例仍在不断涌现”。而笔者认为,不止是威胁管理用例,安全运营领域的其它用例也在不断涌现。
SOAR 未来可期!