安全编排、自动化及响应(SOAR)平台的进化

自动化和编排已发展成了不可或缺的安全工具。

2017年，Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语，用以描述脱胎于事件响应、安全自动化、案例管理和其他安全工具的一系列新兴平台。

企业战略集团(ESG)首席分析师 Jon Oltsik 最近的两篇文章：《安全运营、自动化和编排的进化》、《以分析师为中心的安全运营技术的兴起》，点出了SOAR平台的大幅成长。SOAR工具在应对当下最紧迫的安全问题上越来越有效，公司企业对SOAR工具的需求也因此而越来越旺盛。正如Oltsik所指出的，最近几年科技巨头对SOAR供应商的一系列并购，已经反映出了此类平台的前景。

SOAR地位的急速上升受到当前解决方案提供的一些关键改进的驱动，包括降低实现门槛，以及推动这些平台更容易被更多安全团队和零售业、医疗行业和政府之类对新技术反应迟缓的行业所采纳。

原生功能的扩张

最初，市场上很多SOAR平台的功能非常有限，自动化和编排只适用于处理少数事件。虽然这些产品为安全团队提供了一些节省时间的可能性，但其有效性却受到了适用面窄和缺乏深度的限制。

SOAR当前进化中的一部分，正是其所提供功能的日趋成熟。伴随着越来越复杂的自动化策略和与其他安全工具的井喷式集成，自动化和编排功能已成长成熟，扩展了分析师使用SOAR过滤大量噪音找出真正威胁的能力。

SOAR平台如今还提供更深层次的功能集，更便于处理大型调查和重大事件。其中就包括案例管理模块，还有能方便SOC内部及外部通信、协作和任务管理的一系列工具。如今的事件太过复杂，以致响应团队无法承担在各工作流和报告环节间人工协调的开销，尤其是在有着严格合规要求的公司企业中。功能上的深入，让SOAR成为了推动长期系统性改进的工具，而不仅仅被用作短期警报分流工具。

无需更多经验

SOAR平台的进化，减轻了对用户经验的需求。供应商以预构建策略、导向性调查工作流和自动化警报分级的形式，在产品中内置了安全专业知识。

自动化与编排功能还进化到了无需用户懂得该自动化哪些东西，就能与现有安全框架融合的程度。SOAR平台仍会在重大动作上征询分析师的批准，但分析师已不再需要是自动化和编排方面的专家。

另外，SOAR平台收集和上下文丰富威胁情报的能力，也更方便了初级分析师在事件响应过程中做出正确的决策。技术发展太快，公司企业往往急于买入新技术，却疏于培训和招募在其独特环境中集成并运用上新技术所需的人才。SOAR在辅助初级分析师正确决策上的功能进化，正好弥补了公司企业在这方面的不足。

“单一面板”

“单一面板”这个术语，指的是能装下分析师所需全部信息的一个统一的控制台，是安全运营世界里的神物。然而不幸的是，供应商往往会夸大自身交付此类接口的能力。不过，SOAR平台的进化正将他们拉近实现中心化仪表盘的前景。

SOAR平台追求单一面板的主要优势在于编排，编排的概念具有集成整个安全技术栈的潜力。SOAR平台可利用与其他产品的合作关系来实时交换详细信息，分析来自威胁情报源的数据，甚至让分析师具备从SOAR界面直接采取行动的能力。当前安全事件的复杂性，需要这种跨人员、技术和过程的无缝协同，否则，各界面间切换浪费掉的每一秒都在增加风险。

SOAR将走向何方

虽然有了大幅进展，SOAR依然是一个相对较新的领域，还有很多创新等着我们去引爆。自动化和编排已经进化成了不可或缺的工具，而很快，他们还将在很多平台上得到来自机器学习、人工智能和其他新兴技术的补充。

我们很容易对网络安全的未来感到焦虑，因为攻击方法越来越复杂，国家支持的黑客行动此起彼伏，安全人才短缺愈演愈烈。不过，SOAR对SOC能力的倍增作用，应该能给安全团队带来一些慰藉。

本文转载自“安全牛”，原文作者：nana