安全专业人员认为在继续应对安全警报超载和网络安全技能短缺的过程中，正努力跟上当今的动态威胁形势，但是一些安全专家认为，部署安全流程，自动化和响应工具可以帮助安全团队简化和改进日常流程。

Gartner 将 SOAR 定义为 “使组织能够收集来自不同来源的安全威胁数据和警报的技术，其中可以结合使用人力和机器动力来执行事件分析和分类，以帮助定义，确定优先级并推动标准化的事件响应活动。标准工作流程。” 对于拥有五名或以上安全专业人员的公司，研究机构预测，到 2020 年，SOAR 的采用率将从 1％提高到 15％。

企业策略小组（ESG）的研究发现，SOAR 工具的采用率更高。在去年进行的一项调查中，ESG 发现，有 19％的回应企业表示他们 “广泛地” 部署了操作自动化和编排技术，而 39％的回应者则表示他们正在 “有限地” 部署该技术。

根据 2018 年 RSA 调查的数据，由于大多数企业每天都会收到 10,000 多个警报，因此安全团队无法审查所有这些警报。Gartner 分析师 Augusto Barros 在一封电子邮件采访中说，如此大量的警报以及需要在多个阶段进行检测就足以成为 SOAR 工具的驱动力，但还有其他方面。

巴罗斯说：“我们还需要更快的反应时间；我们无法承受花费数小时或数天的调查，因为事故可能在几分钟内造成很多损害。” “只有当您不手动执行任何操作时，才有可能缩短响应时间。SOAR 可以使自动化秤能够对分类进行警报，启用多级检测并减少响应时间。”

有了警报或异常，安全专业人员还意识到，如果不做进一步调查以提供上下文，他们就无法真正回答 “我得到警报了，那又是什么？” 的问题。位于科罗拉多州的 SOAR 供应商 Swimlane 的专业服务工程师 John Grigg 说。

“ SOAR 之所以有帮助，是因为一旦您有一个流程来回答'什么'问题，那么您就可以编写一本剧本来自动执行大部分甚至整个任务，然后分析师可以发出警报。并立即了解警报或异常是否确实重要。” 格里格说。

自动化安全任务

网络安全供应商 Rapid7 的战略咨询服务高级总监斯科特·金（Scott King）说，尽管自动化安全任务对安全领导者来说是巨大的附加值 - 它通过自动化重复和手动流程来节省时间 - 不必太复杂。波士顿 King 和其他信息安全专家在信息系统安全协会（ISSA）网络研讨会上讨论了企业采用 SOAR 工具的问题，该网络研讨会的标题是 “您的组织是否准备好进行自动化？”

King 解释说，自动化安全任务就像开发自定义脚本一样简单，该脚本允许安全专业人员定期收集信息，因此分析人员可以更快地解决问题或了解特定警报。在实施 SOAR 工具时，安全主管应评估现有的技能和技术，并评估安全团队面临的主要挑战。

总部位于丹佛的咨询公司 Richey May Technology Solutions 的网络安全服务总监 Michael Wylie 建议组织设计出丰富数据的方法，以便做出更好的决策，规划流程并选择可以自动化的关键流程。Wylie 说，例如，实施 SOAR 工具来检查网络钓鱼电子邮件可以帮助更快地响应这些电子邮件。

“能够解释这些电子邮件，...能够对某些类型的操作或请求做出响应，并且能够对 SOC 邮箱进行自动化，因此可以收集，关联信息并将其提供给分析人员是非常重要的” King 强调。

自动化你的 IAM 系统

马里兰州罗克维尔市的网络安全服务公司 Aerstone Labs 的执行合伙人 Jason Winder 表示，身份和访问管理（IAM）是自动化的另一个成熟领域。IAM 为组织提供了识别，认证并最终实现的能力。Winder 说，授权用户访问资源已经变得越来越重要，对于组织来说，能够控制该访问并确保用户不会随着时间的推移积累角色已经变得越来越重要。

Winder 在网络研讨会中说：“当我进入非常大型的复杂企业时，通常会看到一组非常” 拜占庭式 “的脚本，这些脚本经常需要大量的手动执行和处理。” “我们看到了许多本地应用程序……其中许多应用程序在安全性或功能级别上以及在购买 COTS 软件的程度上都存在很大差距，但通常并没有得到尽可能广泛的实施，并且与其他企业和其他安全应用程序集成得很差。”

Winder 说，在选择和部署用于 IAM 自动化的软件之前，重要的是要考虑 IAM 要求的三个核心输入：组织的业务规则，实际用户社区及其用于身份验证和授权的用例以及各种要求。企业系统。

他说：“最好的计划是从对企业破坏最小的应用程序开始。尽量不要一次选择所有东西，并真正计划一个循序渐进的，有目的的实施计划，该计划最终不会关闭业务，但随着我们的发展，已经开始显示出一定的成功。”

SOAR 实施的相关的挑战

Gartner 的 Barros 强调了与 SOAR 实施相关的两个 “痛点”：流程和工具集成。

他说，SOAR 本质上是一种流程自动化工具，没有适当的流程，就没有什么可以自动化的。他补充说，许多具有临时安全操作且没有确定流程的组织认为，他们可以通过购买 SOAR 工具来避免解决这些问题。

Barros 说：“解决这些问题是使 SOAR 有用的先决条件。” “如果您不知道事件响应的方式，则不知道需要在工具上创建哪些剧本或它们的外观。开箱即用的内容可以为您提供想法，但是您无法做到这一点立即使用。”

他说，另一个问题是将您的工具和服务连接到 SOAR。SOAR 的 “编排” 部分意味着它将不得不与许多不同的技术和服务进行对话。他补充说，尽管 API 应该使集成变得容易，但仍存在挑战。

他说：“首先，某些预先构建的集成可能无法提供您想要使用的功能……而且 API 也在不断变化，因此 SOAR 供应商提供的集成可能在工具升级后停止工作。”

他说，从 SOAR 中获得更多价值的组织已经意识到了这些挑战，并利用适当的技能来保持资源，以开发和维护集成。

对于大多数组织来说，投资安全自动化似乎是一件容易的事。但是，从分析师的角度来看，源自自动化技术的工作流可以被视为限制性的，几乎没有进行创造性思考的空间。根据 Swimlane 的业务支持策略总监 Rebekah Wilke 所说。

Wilke 说：“遵循预定义的工作流程和手册，有可能消除好奇心，这些好奇心促使分析师走上为 APT 评分或异常行为的道路，这可能会给安全团队带来巨大的胜利。”

转载声明

本文翻译自 Mekhala Roy 的 Enterprises betting on SOAR tools to fill security gaps，转载链接。转载目的是为了传播更多知识，如有侵权请联系 [email protected]