【注:以下内容除英文引用之外,都是笔者的个人体会,不代表Gartner的观点】

SOAR的全称是Security Orchestration, Automation and Response,意即安全编排自动化与响应。看过本人《安全编排自动化与响应(SOAR)技术解析》一文的人都知道,Gartner最早提出SOAR这个概念的时候,是将其对应为Security Operations, Analytics and Reporting(安全运维分析与报告)的首字母缩写,跟现在的SOAR差别很大!到了2017年才有现在意义上的SOAR。而这三年来,Gartner对SOAR的定义一直在变化。

让我们先回顾一下历史:

  • 定义1【2015年】:安全运维分析与报告(SOAR)利用机读的状态化的安全数据来提供报告、分析与管理的能力,以支撑安全运营团队。SOAR的核心能力包括SIR(安全事件响应),SOA(安全编排自动化)和TVM(威胁弱点管理)。

    SOAR utilizes machine-readable and stateful security data to provide reporting, analysis and management capabilities to support operational security teams.

    这是早老的定义,现在已经完全废弃。

  • 定义2【2017年,SOAR创新洞察】:SOAR是一系列技术的集合,它使组织能够收集不同来源的安全威胁数据和告警,并借助人工与机器的组合操作进行事件分析和分诊,进而按照某种标准的工作流去帮助定义、确定优先级并推动标准化的事件响应活动

    SOAR are technologies that enable organizations to collect security threats data and alerts from different sources, where incident analysis and triage can be performed leveraging a combination of human and machine power to help define, prioritize and drive standardized incident response activities according to a standard workflow.

  • 定义3【2018年,面向威胁的技术炒作曲线】:SOAR是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括SIEM和其它安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准的工作流的指引下,利用人机结合的方式帮助安全运维人员定义、确定优先级并推动标准化的事件响应活动。SOAR工具使得企业和组织能够对事件分析与响应流程进行数字化的描述。

    SOAR refers to technologies that enable organizations to collect inputs monitored by the security operations team. For example, alerts from its SIEM and other security technologies, where incident analysis and triage can be performed leveraging a combination of human and machine power to help define, prioritize and drive standardized incident response activities according to a standard workflow. SOAR tools allow an organization to define incident analysis and response procedures in a digital workflow format.

可以看到,2018年和2017年的定义基本相同,措辞有些许改变。

这一时期(2017~2018),SOAR的目标重点都落到了R(响应)上,也许可以称作SOA for R,SOA的目标主要就是响应活动,即响应活动的编排与自动化。进一步地,这个响应过程是收集——分析分诊——处置。收集的信息是多源的,分析分诊的过程是人机结合的(不能100%依靠机器自动化),而整个响应过程是标准化的、流程化的。

  • 定义4【2019年,SOAR市场指南】:SOAR能够让组织收集多种来源(主要是SIEM系统)的数据,并应用工作流来拉通各种流程和规程。这些流程和规程可以通过不同技术间集成化编排和自动化达成预期的目标,获得更好的可见性。附加的能力还包括案事件管理、威胁情报管理、仪表板和报表,以及跨功能的分析。

    SOAR are technologies that enable organizations to take inputs from a variety of sources (mostly from security information and event management [SIEM] systems) and apply workflows aligned to processes and procedures. These can be orchestrated via integrations with other technologies and automated to achieve a desired outcome and greater visibility. Additional capabilities include case and incident management features; the ability to manage threat intelligence, dashboards and reporting; and analytics that can be applied across various functions.

  • 定义5【2019年,面向威胁的技术炒作曲线】:SOAR能够让组织收集多种来源的数据,并应用工作流来拉通各种流程和规程。这些流程和规程可以通过编排(即不同技术间的集成)和自动化达成预期的目标。附加的能力还包括案事件管理、威胁情报管理、仪表板和报表,以及跨功能的分析。

    SOAR are technologies that enable organizations to take inputs from various sources and apply workflows aligned to processes andprocedures. They can then be orchestrated (via integrations with othertechnologies) and automated to achieve a desired outcome. Additional capabilities include case and incident management; the ability to manage threatintelligence, dashboards and reporting; and analytics that can be appliedacross various functions.

可以看到,2019年的SOAR定义比较稳定,相较于2018年做了些许调整。

这个时期(2019),SOAR的目标已经不再凸显R(响应)了,而是泛指各种流程和规程,这个时候工作流(workflow)成为了核心。不论怎样的工作流,都要应用到编排与自动化的技术。笔者觉得,此时的SOAR也许叫SOAW,或者SOA for (opertions) workflows。此外,Gartner可能觉得这个定义太泛泛了,后面还加了一个尾巴,给出了几个具体的功能清单。

进入2020年,Gartner对SOAR的定义发生了明显的变化。

  • 定义6【2020】:SOAR平台是一类为人类安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。这里的团队不限于SIEM操作员或SOC分析师。这里的团队可以包括告警与分诊管理、事件响应人员、威胁情报、合规经理、威胁猎手。

    SOAR platforms are solutions that add machine assistance to human security operators as they execute certain duties within their teams.

    The scope of teams where this applied is not limited to just SIEM operators or SOC analysts. It can include alert and triage management, incident responders, threat intelligence, compliance managers, and threat hunters.

  • 定义7【2020年,安全运营炒作曲线】:SOAR是一类从各种来源获取输入,并应用工作流来拉通各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果,譬如分诊管理,事件响应,威胁情报,合规性管理和威胁猎捕。

    SOAR are solutions that add machine assistance to human security operators by taking inputs from various sources and applying workflows aligned to processes and procedures. Those procedures can then be orchestrated (via integrations with other technologies) and automated to achieve a desired outcome, such as triage management, incident responders, threat intelligence, compliance managers, and threat hunting.

分析Garnter在2020年的SOAR定义,可以发现,明显的变化在于强调了SOAR是一种为人提供机器协助的解决方案。具体可以分为两点:

1)强调了人在SOAR中的主体地位和作用,以及机器智能、机器自动化的辅助增强作用。从2017年说“人机结合”到2018~2019年不提及,再到2020年重提人的重要性,能够体会到Gartner对于SOAR的认知和定位的厘清过程。也许此时可以称SOAR为SOA for human吧。

2)SOAR从一种技术升格为一种解决方案。一般地,解决方案是多种技术的组合,用于满足特定的用户需求。

接下来呢?让我们一起等待Gartner最新一期的SOAR市场指南吧。

最后,也谈谈笔者对SOAR定义的理解。笔者认为,SOAR应该是这样一个系统:

1)它是一个智能化的协作安全运营系统;

2)它面向SecOps团队,以高效的实战化安全运营为目标,为团队赋能;

3)它能实现人与组织、流程、技术及工具的整合,整合的纽带是“剧本”和“应用”;

4)编排与自动化是SOAR的核心能力。

响应是SOAR的一个经典应用场景,但SOAR不限于响应,安全编排与自动化适用于识别、防护、检测、响应、恢复等等各个环节。

我们一直都在说一个完整的安全运营中心是人、流程和技术的集合体。以SIEM技术为核心的SOC平台或者安管平台一直致力于为SOC的人提供一个技术平台,但却从没有真正将人与技术整合到一起,更不要说流程。人和流程与SOC平台之间始终存在间隙。SOAR则恰好填补了这个空白,以整合人、流程和技术为使命,让我们朝真正的SOC又前进了一步。

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。