SOAR的概念最初是Gartner在2015年提出的,指的是“Security Operations, Analytics and Reporting Stack”,即“安全运维分析与报告”。
随着安全技术与市场的演变,SOAR的定义也发生了变化。近些年,国内外安全厂商将重点都放在未知威胁检测上,但随着网络对抗的日益激烈,单纯提升检测能力已满足不了需求,客户需要的是集识别(Identify)、防御(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)于一体的安全防护系统,即“IPDRR”。在这样的背景下,2017年Gartner将SOAR重新定义为“Security Orchestration, Automation and Response”,即“安全编排自动化与响应”。
Gartner认为SOAR由三种技术融合而成,包括安全事件响应平台(SIRP)、安全编排与自动化(SOA)和威胁信息平台(TIP)。SOAR影响IPDRR的多个环节,但主要聚焦在RR(响应和恢复)阶段。
总的来说,SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队检测到的各种信息,并对这些信息进行事件分析和告警分诊。然后在剧本(Playbook)的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。
市场
随着全球安全产业的发展,SOAR在市场上逐步走向成熟,SOAR更多是作为一种能力被融入到其他安全产品之中,例如安全运营中心(SOC)、安全信息和事件管理(SIEM)、托管检测和响应(MDR)等。在迅速成长的MDR中,SOAR就是一个关键的要素。而SIEM厂商一直通过收购或自建的方式构建SOAR,以提升对事件的响应能力。独立的SOAR产品也有一定市场空间,相对于内置的SOAR,客户更看重其灵活性和中立性。
SOAR的客户价值
● 提升安全运营效率以及事件闭环率
通过编排,SOAR将调查取证、处置、通知等多个环节整合在一个工作流里,自动化调度运行,减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁,SOAR的自动化能力有助于提升整体安全运营效率。
● 积累安全运营经验
通过剧本编排,可以将威胁处置的过程转变为工作流并记录保存,借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充,可供安全专家参考分析。
● 提升整合能力
SOAR能够把环境中现存的安全产品整合在一起,实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统,使其发挥更大的价值。
● 提升需求满足敏捷度
在硬编码模式下,客户新业务的需求往往要依赖版本升级才能够实现, 在内部部署(OP)场景下版本迭代周期长,客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征,安全运营团队很容易就能实现工作流创建和改进,帮助客户实现需求变化敏捷落地。
此外,SOAR的作用在安全托管服务中体现的尤为明显,因为它可以显著提升威胁处置的速度和一致性,从而提升服务级别协议(SLA)规定的服务水平。
