2023年6月23日,Gartner对外发布了《2023年SOAR市场指南》报告,对《2022年SOAR市场指南》进行了年度更新。总体上,一年来SOAR的发展越来越稳健和务实。在2023年的报告中,SOAR定义没有变化,SOAR的市场驱动力和发展阻力没有变化,客户评估自身是否适合使用SOAR的五个维度依然不变,但给想使用SOAR的客户提出了更多诚恳的忠告,并微调了SOAR产品供应商划分方式。
核心观点分析
SOAR定义
基本沿用2022年的定义。SOAR解决方案将事件响应、编排和自动化以及威胁情报 (TI) 管理功能集成在一个平台中。SOAR 工具还用于记录和实施流程(又名剧本、工作流程和流程),支持安全事件管理,并向人类安全分析师和操作员应用基于机器的协助。
Security orchestration, automation and response (SOAR) solutions combine incident response, orchestration and automation, and threat intelligence (TI) management capabilities in a single platform. SOAR tools are also used to document and implement processes (aka playbooks, workflows and processes); support security incident management; and apply machine-based assistance to human security analysts and operators.
SOAR价值
提高安全运营效率
提高安全流程的一致性【笔者注:这点特别重要】
改进威胁预防、检测和响应全过程
提高事件优先级划分能力
促进威胁情报实战化
Gartner强调,当前要对“安全自动化”建立清醒的认识,大多数现代 SOC 流程的端到端自动化和“自主 SOC”仍然难以实现。
SOAR的常见用例
SOC优化
流程优化和分析师协作
威胁监测、调查和响应
威胁情报管理和实战化
SOAR核心能力
警报分诊和优先级划分:这是从不同来源获取警报输入并应用数据丰富和关联过程的能力。这可以减少、合理化并确定对您的组织造成更重大影响和高可能性损害的事件数量。目标是“不留下任何警报”,同时产生值得安全分析师真正关注的准确事件。
编排和自动化:安全团队经常处理许多具有单一焦点的单点解决方案工具。跨多个解决方案更好地编排和自动化水平“流程”的能力是SOAR的一个关键功能。组合资源的复杂性涉及工作流程与手动和自动步骤的协调(这反过来又涉及影响信息系统的许多组件,通常还涉及人类)。
案例管理和协作:手动或自动响应为以编程方式定义的活动提供预设的解决方案。响应包括从基本级别的活动(例如在IT 服务台中创建工单)到更高级的操作(可以通过其他安全控制进行响应,例如通过更改防火墙规则来阻断域名或IP 地址) 。此功能在操作上最具影响性,因为它适用于最复杂的用例,并且可以显著提高分析人员的效率。
仪表板和报告:仪表板和报告提供了聚合安全遥测的能力,从而可以了解 SOC 的运行情况、事件响应流程的演变以及绩效结果。SOC 数据应呈现给不同的受众,例如 SOC 经理、SOC 分析师和CISO。
威胁情报运行和基于情报的事件调查:这采用基于证据的知识的形式,包括有关现有或新出现的威胁或资产危害的背景、机制、指标、影响和面向行动的建议。该情报可用于为有关主体对该威胁的响应的决策提供信息。事件调查将以工作流的形式进行,以验证事件警报并确定启动响应的最佳工作流(以手动或自动方式)。
架构:这包括位置(云或本地)、支持高可用性的解决方案冗余和性能等项目,包括如何将优先级应用于剧本执行,还包括基于角色的访问控制(RBAC)。架构还涵盖鼓励更好的采用和使用而不是限制扩大使用的许可模型,以及与现有供应商生态系统的集成。
使用SOAR之前的客户自身条件评估
大量实践表明,用户自身安全运营成熟度水平对于能否成功应用SOAR至关重要。SOAR并不适合所有人,Gartner始终建议客户从以下五个方面对子情况进行评估:
现在有没有已建立的安全运营指标
有没有已定义的安全运营流程
有没有分析师,并且分析师的安全运营能力和安全开发能力如何
有没有文档化的安全运营工作过程/流程
需要集成的各种技术是否就绪
此外,还有一个特殊但关键的就绪条件——生态。SOAR的编排和自动化核心在于将分散的安全能力集成到一起,而这个能力能否落地,很大程度上取决于这些安全能力是否具备集成API,以及API的完备性。这不是单纯的SOAR厂商和客户的事情,是整个安全生态的问题。至少,对于客户而言,应该将各类安全系统所需具备的开放性作为安全建设的一个基本原则。同时,在采购任何安全产品的时候都应该要求其具备API(或者符合某项业界标准),并写入招标要求中。这不仅是为了SOAR,更是为了实现一体化安全体系。
经过自评估,如果客户自身条件欠缺,但又希望能够获得SOAR带来的价值,还有一种方法是转而寻求安全服务厂商的帮助,或者请SOAR厂商的服务团队介入,以购买服务的形式来获取SOAR技术。
SOAR选型建议
Gartner报告指出,客户可以从以下7个方面考察SOAR供应商及其产品:
能够与组织环境中安装的现有产品集合兼容。要么SOAR产品已经支持,要么可以定制开发。与此同时,客户方需要做好自身团队升级的准备,譬如新建适应SOAR应用需求的内部开发团队,以帮助根据您的特定安全运营计划定制解决方案。谨记,确保与“威胁检测时间”和“威胁响应时间”等相关的运营安全指标,在使用SOAR后应该明显比使用SOAR之前能够表现得更好。
SOAR厂商或者服务商可以根据客户当前痛点和实际需求,综合考虑人员、流程和技术,帮助其定制至关重要的安全运营用例。例如,有的客户更喜欢使用公司现有工单系统而不是专用的案例管理解决方案;有的客户则关注SOAR等技术如何提高SIEM和 EDR 等现有工具效率的关键;还有的客户认为 SOAR 是在面临越来越多的威胁时提高安全人员效率的关键工具,因为招聘和留住员工仍然是这些组织的一个严重痛点。
与 IT 运营解决方案(例如用于案例管理的工单系统)和协作工具(例如用于更好的实时通信的消息传递应用程序)进行双向集成。
能够通过直观的 UI(使用低代码或无代码模型)轻松地将组织的现有流程编码为功能性剧本,以便SOAR可以自动化执行这些剧本。创建剧本并定期执行它们的能力是SOAR解决方案的一项关键功能,并且应该成为您实施SOAR时的关键设计原则。
能优化分析师之间的协作。例如,通过聊天或即时消息框架(譬如作战室)使分析师沟通更加高效,或者能够跨多个安全和非安全团队共同处理复杂的案例。
有一个符合客户需求、可预测并鼓励SOAR使用的定价模型。
解决方案部署和托管的灵活性——无论是在云端、本地还是混合环境。部署应适应组织的安全策略和隐私考虑或其云优先计划。
运行SOAR需要持续投入
也许SOAR可以做到开箱即用,但SOAR绝不可能部署后即不管。Gartner报告表示,客户必须投入专门的资源持续开展多方面的工作,以持续支撑安全运营,否则无法保证SOAR的成功。这些工作包括:
持续的需求收集与改进:必须对SOC面临的痛点和SOAR建设目标有清晰的认识,并能够控制好需求释放的节奏。需要投入大量时间用于分析新需求,维护和调整现有需求,确保自动化始终按照预期运行。
持续的部署和回滚迭代:有时候自动化的破坏性是很大的,错误的自动化可能对网络产生比错误的手工操作大N倍的伤害。必须对必要的流程和剧本进行回滚设计,上线前要测试,上线运行时要监测。
持续度量:自动化,就像人一样,需要被度量,以确保业务正在获得价值。这意味着要定期审查各个自动化的价值(投入产出比)以及它们对组织的价值是必要的。
SOAR市场发展方向
单纯的SOAR解决方案依然存在,并主要面向大型客户,这类客户通常已经部署了先进的检测产品和运营平台,需要从更全局的角度提供一个统一的控制层。同时,SIEM、XDR和ITSM等产品(通过并购、OEM、自研等)也在不断吸收SOAR的功能,并对SOAR进行不同程度的简化,去应对较低安全运营成熟度的客户。这也展示出了未来SOAR的多种发展可能性:保持独立,或者成为其它产品的一部分。如下图所示,SOAR能够为各种TDIR类解决方案赋能。
此外,MSS或者MDR服务商普遍将SOAR整合到自身的“后端平台”中,为客户提供更高效的服务,实现自身的降本增效。而这类客户则不关心MSS/MDR服务商是否有SOAR功能。因此,MSS/MDR服务商成为了SOAR的重要买家,有的甚至直接出手进行收购。譬如,在2023年5月,ReliaQuest收购了EclecticIQ。而就在本月,Arcticwolf宣布将收购Revelstoke。
独立的SOAR厂商正不断被其它类型厂商(包括SIEM、XDR、MSS/MDR等)收购,因为SOAR能够很好地与他们的现有能力形成互补。同时,由于这类产品的“中立性”(或者叫开放性、厂商无关性),很符合客户现有实际环境的情况,也能促进厂商自身的开放性和生态建设。
SOAR供应商分类
Gartner今年调整了对SOAR供应商的分类,以反映市场的微妙变化。Gartner将SOAR供应商分为两类:生态优先型SOAR和开放兼容型SOAR。这种划分最大的特点在于不看这个SOAR是一个独立的SOAR还是嵌入到其它产品或者解决方案中的SOAR,而是看这个厂商对SOAR产品或功能的战略定位。
生态优先型SOAR:无论这个SOAR是其它产品中的一个功能,还是一个独立的或者单纯的SOAR,其目的在于优先服务于该厂商的特定产品组合的价值主张。譬如邮件检测产品可以内置一个SOAR功能,主要将其用于检测恶意电子邮件,而不会考虑将其用于其它非邮件安全相关流程的自动化。或者XDR产品中可能内嵌一个SOAR模块或者搭配一个可独立运行的SOAR子系统,但这个SOAR将优先服务于对该厂商自身或者所构建的安全生态联盟厂商的安全设备的集成与编排。诚然,通常生态优先型SOAR更多以某个产品的功能组件形式出现。
开放兼容性SOAR:这类SOAR也称自己是供应商中立的SOAR。这类SOAR背后的厂商可以是纯粹的供应商,也可以是提供更广泛安全产品组合的供应商(譬如IBM、Splunk、PAN等)的一部分。这些产品的独特之处在于它们能够接收来自广泛的安全产品生态系统的输入,并组织安全运营团队的工作流程。值得一提的是那些综合性安全产品供应商,他们往往将SOAR定位为开放性SOAR,一方面可以无缝与自身的安全产品(如SIEM等)集成并与自家的检测产品对接,同时提供一致性的用户体验;另一方面也能平等地与其它厂商的产品进行对接。绝大多数此类产品既能够跟自家的产品组合销售,也能够单独销售,并与其他供应商保持最大的互操作性水平,即使它们是竞争产品。诚然,这类厂商通常是通过收购独立SOAR厂商获得的SOAR,但他们并不会因此削弱SOAR的开放性,以求在最大化自身产品组合利益的同时,最大程度地适应客户实际环境。
补充材料分析
SOAR是安全运营与IT运营的纽带
在2023年的技术成熟度曲线系列报告中,Gartner首次将SOAR、暴露管理和VPT(漏洞优先级技术)纳入了ITSM的技术成熟度曲线报告中,供IT运营人员了解。Garnter表示,这些技术与IT运营紧密相关,存在与ITSM平台和实践的触点。
SOAR落入Hype Cycle谷底
2023年的技术成熟曲线显示,SOAR技术已经落入了Hype Cycle曲线的谷底,但价值评级为高,并处于早期主流的发展阶段。这意味着用户对SOAR技术的期待已经十分务实,去掉了很多不切实际的想法,经历洗礼的SOAR产品也正在升级换代、蓄势待发。
GenAI对SOAR的影响
GenAI,即Generative AI,中文称呼为生成式AI,作为当下最热门的AI领域的一个分支,包括基于LLM的ChatGPT、文心一言等,正在迅速席卷所有的IT领域。毫无疑问,SOAR也将获益于GenAI。笔者之前已经写过一篇专门的文章讲述以ChatGPT为代表的GenAI在安全运营领域的价值,以及如何与SOAR协同。这里,笔者想要给吃GanAI螃蟹的安全运营从业者们提个醒:
GenAI所代表的智能化不等于自动化,SOAR背后的编排自动化技术跟GenAI是互补关系而不是替代关系。我们看到GenAI应用目前正在向自动化迈进(譬如LangChain,AutoGPT等),其本质正是吸收了与编排自动化一样的思想。
目前,GenAI的使用效率是比较低的,适合于人机交互的场景,或者低频的无交互操作场景,跟SOAR的价值点存在差异。
鉴于当前GenAI的输出结果存在较大的不确定性(幻觉、误导、不一致等),因此需要对结果进行验证,或者仅用于参考决策的场景中。
GenAI存在安全与隐私问题,因此需要对GenAI的应用过程进行监管。
总之,GenAI还不成熟,其带来的收益并不会比付出多多少,还有待于进一步发展,但未来可期。与此同时,我们不要忽视现在的“小模型”等AI技术的作用,很多现有的AI技术依然可以推动安全运营向前进,并赋能SOAR。
对中国SOAR市场的个人判断
笔者在之前的文章《重新定义SOAR(2023年重编完整版)》中已经给出了SOAR的中国定义,并阐述了中国SOAR市场的发展现状。总之,中国的SOAR市场正在稳步发展,增速远高于网络安全市场的平均值。
近一年来,越来越多的客户部署并运行了SOAR,并且主要都作为其安全运营中心的配套设施。重保是SOAR采购的重要促成因素,客户自身安全运营的提质增效也是采购SOAR的重要原因。
从笔者所在团队积累的SOAR用例来看,响应控制类剧本(譬如IP阻断)是一大热点,这与Gartner分析的国外的情况略有不同。国外通常对于封禁类剧本是比较慎重的,因为担心对网络正常运行造成不良后果,而更多将自动化用于调查和事件的上下文丰富。这体现了国情的不同。
同时,对比国外的SOAR实践,受国内的客户安全运营成熟度水平所限,剧本的应用场景还有很大的提升空间,目前SOAR的价值还仅仅发挥出了30%的功力。这里有SOAR厂商的原因,有客户的原因,还有已有安全系统开放性的问题。SOAR厂商还需要与先进客户一起共同努力,开发更多实战化的应用场景和剧本,并推进生态和标准体系的构建。
综上所述,以SOAR为代表的安全运营自动化技术将成为安全运营的基础性技术,把人、流程和技术真正融合到一起,支撑包括预防、检测和响应在内的安全运营各个环节。
参考文章
