【技术趋势】SOAR永垂不朽
Gartner 曾将安全编排、自动化和响应(SOAR)技术誉为创新,如今却将其标记为“过时”,但安全运营自动化的需求仍远未停止,这一转变引发了业界的广泛讨论。
来源:来自 Robert Lemos 的 Gartner 图表屏幕截图
SOAR技术的兴起与质疑
七年前,Gartner 的分析师创造了“安全编排、自动化和响应”(SOAR) 一词来描述一类新产品:集成化的安全运营。它不仅可以检测威胁和问题,还可以使用剧本playbook来增强事件响应者的工作,并最终实现响应的完全自动化。
七年后, Gartner 将这项技术贴上了“过时”的标签,这意味着该类别在成为成熟的 IT 工具之前已经停滞不前,这引起了一场混乱。客户向该公司提出了大量关于该类别标签的疑问。安全自动化领域的供应商则更为直言不讳。
业界对SOAR“过时”标签的反应
任何关于 SOAR 已死的说法都是“我听过的最愚蠢的事情——绝对是愚蠢的,”安全运营自动化提供商 Swimlane 的首席执行官詹姆斯·布雷尔 (James Brear) 说:“如果你只是去掉术语 SOAR 并以自动化这个词作为代替,那么这个结论听起来会十分荒谬。这就好像说 AI 正在消失。”
SOAR 并不是第一个在 Gartner 的 Hype Cycle 中被指定为过时的技术。2022 年,“数据网格”在进入“停滞”(plateau)区间之前就被标记为“过时”—— 更正式地说,这里的 plateau 区间是指“生产效率的停滞”。2020 年,Gartner 对“需求驱动的物料需求计划”(一种供应链管理方法)也贴上了这一标签。2010 年的“电力线宽带”也是如此。
“这种过早过时通常是由于竞争技术的出现造成的——例如,模拟高清电视让位于数字高清电视,”Gartner 在解释其 Hype Cycle 模型时表示。
自动化成为必备功能
Gartner 高级总监分析师 Eric Ahlm 表示,在最新的案例中,SOAR 产品类别的组成部分已被其他产品和服务所取代,自动化越来越成为预期的必备功能。分析师解释说,安全运营中心 (SOC) 需要将编排作为一项独立功能,以将不同的产品集成到单个运营中心。随着企业客户寻求简化的运营,供应商将 SOAR 与其他产品和服务进一步整合在一起。
一连串的并购凸显了这一趋势。Palo Alto Networks 于 2019 年收购了 Demisto,并于今年早些时候从 IBM 收购了 QRadar。Rapid7 于 2017 年收购了 SOAR 公司 Komand,SumoLogic 于 2021 年收购了 DFLabs。
“有很多不同的方法可以提升自动化效果 — 例如通过自动化提高效率或扩大规模 — 而无需购买独立的专用 SOAR 平台,”Ahlm 说。“这就是我们真正要呼吁的——不是自动化的终结,也不是死胡同的概念——但我认为,那些只销售专用自动化平台的供应商领域......很难有一个非常生动的未来。
未来需要一个简化的安全中心
大多数公司都希望有一个包含其所有安全信息的统一中心,以便他们能够从中管理事件、进行调查和响应威胁。SOAR 最初被设想为这个中心枢纽,但随着产品之间的集成度越来越高、更好的自动化和对可见性的关注意味着其他产品现在可以填补这个角色。
换句话说,中央枢纽不必只能是 SOAR。Ahlm 说,安全运营平台的选择越来越取决于企业从哪里开始,以及它认为哪个核心平台能提供最大的价值。例如,扩展检测和响应 (XDR) 以及安全事件和信息管理 (SIEM) 平台都日益成为公司的安全焦点。
自动化安全运营平台提供商 Sumo Logic 的首席技术官 Chas Clawson 表示,SOAR 的功能(集成、可见性和自动响应)已迁移到各种安全产品中。
“它显示了安全运营领域的成熟度,当像自动化这样关键的事情成为最低要求时,每个解决方案都必须具有一定的自动化能力,”他说。“从防守方多年来经历的痛苦来说,可能早就应该如此了——患有“转椅综合症”的精疲力竭的分析师(坐着转椅在不同的显示屏、安全系统中疲于奔命)......我们真的需要一些缓解手段。”
Sumo Logic 拥有自己的 SOAR 产品 Cloud SOAR,专注于集成来自不同 IT 设备、安全产品和云服务的数据流,以及安全运营的自动化。
SOAR 的有力支持者
SOAR 背后的另一家网络安全公司是 Palo Alto Networks,该公司在安全自动化方面加倍投入。该公司的安全运营中心每天摄取 360 亿个事件,容量超过 75TB,而只有 10 名人工分析师。在其用例中,该公司表示,其 Cortex XSOAR 实现了 16 名分析师的工作自动化,并且为其客户将花费在手动操作上的时间减少了高达 90%。
“通过对耗时的手动任务标准化与自动化,SOAR 解决方案大大减少了事件响应所花费的时间,”Palo Alto Networks 的 Cortex 和 Prisma Cloud 产品高级副总裁 Gonen Fink 说。虽然许多独立的安全产品将继续集成某种程度的自动化,但 SOAR 解决方案提供了更强大的功能,可以协调和自动化组织技术堆栈中的各种操作。
Swimlane 还专注于自动化安全任务和事件响应,通常适用于财富 2000 强等大公司。Swimlane 的 Brear 表示,该公司成立于 2014 年,据报道比 Gartner 创建术语 SOAR 早了三年,该公司的方法是从所有 IT 设备收集数据,从安全产品中收集情报,然后自动响应任何已识别的事件。
独立SOAR平台的市场前景
“我们公司的成立初衷就是,'如何才能让 SOC 变得更好?'“如果你回到过去,SOC 人员需要研究无数种不同的工具——试图获得可见性真的很复杂。”
据分析公司 Omdia 称,由于上述原因,独立的 SOAR 平台对许多公司来说是一种必要且合理的安全方法,而且远未过时,但客户将继续需要将其与常见技术更好地集成,例如 Microsoft 和托管检测和响应 (MDR) 平台。
“安全技术的用户希望拥有易于使用、需要最少培训且可以轻松集成的解决方案,”Omdia 高级分析师 Elvia Finalle 说。“SOAR 供应商将不得不继续适应平台,并扩大与其他供应商和解决方案的兼容性。”
AI + 自动化 = 安全演进
虽然 SOAR 的核心应用场景仍然很强大,但人工智能、自动化和当前过多的网络安全产品的结合将产生一个可以从 SOAR 系统(例如支持 AI 的下一代 SIEM)中夺取市场份额的平台,Omdia 的执行首席分析师 Eric Parizo 说。
“SOC 决策者不会寻求购买编排和自动化,而是希望解决促进更快、更高效的 TDIR (威胁检测、调查和响应])生命周期的问题,从而获得更好、更一致的结果,”他说。“独立 SOAR 解决方案中的编排和自动化功能旨在促进实现这些业务目标。”
AI 和机器学习将继续越来越多地增强自动化,Sumo Logic 的 Clawson 说。他说,虽然处理数据并自动响应威胁的 AI 安全智能体仍处于起步阶段,但该行业显然正在朝着这个方向发展,尤其是随着越来越多的基础设施使用“即代码”方法,例如基础设施即代码IaC。
结果就是 SOAR 需求可能会减少。
“当你拥有 Copilot 技术时——你一定听说过'智能体'这个词,当你拥有智能体可供使用,它可以做任何你想做的事——它就会稀释 SOAR 的价值,”Clawson 说。“因为 AI 可以成为专业的编码人员和开发人员,并且可以访问每个 API 和所有文档,所以您几乎可以立刻开始以更像人类的方式与系统交互。”
数世点评:SOAR作为一个独立产品的需求在萎缩,但其内涵的自动化精神永不过时。