我们说安全的本质是对抗,而对抗是一个永无止境的过程,这个过程就叫security operations(安全运营/运行/运维/行动/作战/……),简称secops。

欢迎进入secops的世界!

我们下面讲到的SOAR展现了secops中自动化、编排化、智能化的一面。

2022年6月16日,Gartner正式发布了《2022年SOAR市场指南》报告。这份报告是对2020年9月的同名报告的更新版。本来Gartner计划在2021年发布这份报告的,但由于主笔分析师(Claudio Neiva)以及其他几名合作分析师(Toby Bussa, Gorka Sadowski)纷纷离职,被耽搁了下来。BTW,近几年Gartner走了好几个安全运营领域的分析师,纷纷去到乙方,譬如Toby Bussa先是去了Bugcrowd,现在ThreatConnect做产品行销VP,Gorka Sadowski去了Exabeam做首席战略官,此外Augusto Barros去了Securonix做布道师,Anton Chuvakin则在更早前去了Chronicle,现属于Google云。幸好Craig Lawson还在,做了这次报告的主笔,带上新来的分析师Al Price。

总体评述

正如Craig Lawson所言,相较于上一版报告,SOAR市场总体上没有太大的变化,譬如Gartner对SOAR的定义没有变化;SOAR作为功能特性嵌入其他产品(如SIEM、XDR、邮件安全)中的趋势越发明显,但大型客户依然青睐纯SOAR解决方案;SIEM厂商对SOAR的收购步伐一直没有停止;SOAR愈发被MDR服务商采用(对用户透明),并持续云化以满足中型客户的需要;阻碍SOAR发展的几个关键因素依然在于运营团队的成熟度以及被编排产品供应商的API不足;在上马SOAR的时候依然还是从五个方面(指标、流程、分析师、SOP、技术集成)去评估自身的就绪情况;依然建议用户从报警分诊、编排与自动化、案例管理与协作、仪表板与报告、威胁情报应用(以及今年新增的“架构”)几方面去评估SOAR解决方案。

至于变化的部分,主要体现在出现了一些新的SOAR用例(使用场景),这些使用场景超越了传统的事件响应和漏洞响应,迈向更广泛的安全运营工作,并开始与低代码-无代码开发平台出现交集。对此,笔者在国内SOAR实践中也感觉到了这个趋势,已经在用户那里开发出了很多非响应类的剧本。而笔者在跟Gartner沟通的时候也反复强调这点,即:响应只是SOAR的一类应用场景,还有很多其它安全运营的工作场景可以用到编排和自动化技术。笔者认为,SOAR正在从安全编排自动化响应向安全编排自动化运营平台(SOAP)转变

还有一个变化在于最新版报告中在给用户选型SOAR的建议中增加了对架构的评估建议。这里的架构评估包括部署模式(本地部署还是云部署)、高可用部署、高性能部署、RBAC、许可模式,以及像作战室这类的即时沟通工具。对于作战室,笔者也颇有感触,很多国内客户对此比较喜爱。本质上,作为SOAR其价值在于自动化,而作战室是反自动化的,但作战室的价值恰恰就在于对于那些无法自动化的工作实现基于chatops的高效协作式处置,最终还是提升了处置效率。如果说促进人机协同,机机协同是SOAR的基本使命,那么促进人人协同是SOAR的高级使命,也是更根本的使命。这里的人人协同,不仅是指作战室这类chatops工具,还包括流程化的SIRP所代表的安全事件响应闭环(譬如将Level1,2,3级的分析师协同起来)。所以笔者一直强调(包括跟Gartner沟通的时候),SOAR的内涵在于:人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。

核心观点引述

SOAR定义

SOAR是一套将事件响应、编排与自动化,以及威胁情报平台的管理能力组合到一起的解决方案。

Gartner defines SOAR as solutions that combine incident response, orchestration and automation, and threat intelligence platform management capabilities in a single solution.

SOAR市场的驱动力

安全技术市场普遍处于超载状态——预算和人员压力大,单点解决方案太多

成为组织普遍存在的问题。

SOAR的发展阻力

安全运营团队缺乏成熟的流程和规程,加上预算和人员的限制,对更广泛的采用SOAR解决方案造成了阻碍。此外,供应商API整合时的成熟度参差不齐,也是导致SOAR无法取得更高的采用率的关键原因。

客户上马SOAR之前评估自身就绪状况的五个维度

这五个维度从基础到高级分别是:运行指标、已定义的流程、训练有素的分析师、文档化的工作流、支撑技术的集成。

在2020年的一份报告中给出了五个维度的关系图,如下所示:

以下是笔者的解读:

  • 运行指标:就是要问自己,安全运营工作有没有度量?有没有量化的目标?如何衡量工作的好坏?如果没有度量,上SOAR之后的损益就没法计算。

  • 已定义的流程:其实就是安全运营中的流程因素。关键运营工作有没有文档化的流程?可以参照执行的操作步骤?

  • 训练有素的分析师:其实就是安全运营的人的因素。

  • 文档化的工作流程:这里的工作流程比上面的流程更细,相当于SOP,操作手册,能够指导技术人员一步步的执行。至少对于打算用SOAR的剧本来表述的工作流程要达到这个粒度。事实上,如果你写不出这个SOP,也就写不出剧本。

  • 支撑技术集成:就是要看自动化过程中涉及的各种技术能否通过API集成起来,得到必要的预授权,并且能够通过测试。

过去两年的主要并购事件

报告列举了2020年以来的SOAR领域并购事件,包括:

2020年1月 FireEye收购Cloudvisory

2020年3月 Fortinet收购CyberSponse

2020年4月 Swimlane收购Syncurity

2020年7月 MicroFocus收购ATAR Labs

2021年3月 Sumo Logic收购DFLabs

2021年9月 LogPoint收购SecBI

2022年1月 Google Cloud收购Siemplify

笔者在《Gartner:2021年SIEM(安全信息与事件管理)市场分析》一文中列举了2021年以前的更多并购事件。

代表性供应商

相较于上一版报告,这次增加了8个供应商,包括2个中国厂商,2个欧洲厂商,2个云厂商(微软和谷歌,其中谷歌是收购了Siemplify),2个新派纯SOAR创业厂商(主打低代码-无代码的泛自动化工具/平台);同时,FireEye下榜了。

此外,可以看到,一方面是SIEM厂商和云厂商大举收购纯SOAR公司,另一方面是纯SOAR创业公司层出不穷,足见这个领域目前有多么活跃,市场机会很大,未来各种可能性并存。

SOAR市场未来走向

在这个报告中,Gartner并未直接给出SOAR市场的未来发展趋势。但可以感受到的是,SOAR作为一种能力和技术,会被不断嵌入到其他产品,尤其是SIEM,XDR产品中。但这也不意味着SOAR的消亡,至少从现在看,不会像UEBA那样从Gartner的Hype Cycle中下榜,并入SIEM中。因为,纯SOAR产品还受到大型客户的青睐。尤其是对于那些已经在安全技术和安全运营领域做了大量投入的客户而言,他们需要一个“供应商中立”的SOAR平台。即便是那些收购了SOAR厂商的SIEM供应商们,也没有将那些SOAR变成封闭性产品,而是依然作为一款开放性SOAR产品,保持与竞争对手的SIEM对接。

反观SIEM,也许自身地位亦将不保。是的,XDR来势汹汹,在《SIEM的未来》一文中有所阐释,笔者还将另文阐释XDR与SIEM的战争。

所以,在未来几年内,按照Gartner的划分,市场上将会出现嵌入式SOAR产品和开放式SOAR产品

所谓嵌入式SOAR产品,就是SOAR作为一个功能嵌入到其他产品中,不独立存在,甚至不与其它产品对接的一种形态。譬如嵌入到某些SIEM中,或者嵌入到XDR中。同时,嵌入到这些产品中的SOAR功能可能会相较于开放式SOAR产品的功能有所裁剪。

而开放式SOAR产品是指SOAR能够独立使用的,能够与广泛的第三方产品对接的一种产品形态。譬如以纯SOAR厂商身份独立存在。又或者作为SOC平台套件,安全分析平台套件、SIEM套件、IT运维平台套件的组成部分,既能与套件中的其他产品紧密协作,又能独立部署和运行,对接第三方厂商的产品。

Gartner的这种划分,跟Forrester的划分本质上是一致的,只是表现形式不同罢了。

关于中国SOAR市场的判断

笔者在之前的文章《重新定义SOAR》中已经给出了SOAR的中国定义。在这个文章里谈及了中国TIP市场的问题,谈及了SOAR的中国客户应用成熟度的问题。

需要补充的是,相较于国际上的SOAR产品而言,国内SOAR,甚至是整个安全运营领域,存在一块短板,就是SIRP(安全事件响应平台)。可以说,国外的SOAR是在SIRP已经成型的基础上发展而来的,而国内的SIRP则几乎为空白。记住,是SIRP,而不是SOA,才是真正实现安全事件响应闭环的支撑平台!不是所有事件都能通过编排和自动化来闭环!这块短板,笔者在2019年的文章就提出来过,在2020年也提到过。可以说,现在国内的SOC平台难担当此任,因此,国内SIRP的落地重担历史性地落到了SOAR身上。

总之,中国SOAR市场的热身时间已经结束,客户已经开始正式入场了。

参考文章

重新定义SOAR

Forrester:2022年SOAR技术市场报告

深入研究SOAR的核心能力——安全编排与自动化

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。