安全編排、自動化及響應(SOAR)平臺的進化

自動化和編排已發展成了不可或缺的安全工具。

2017年，Gartner提出了“安全編排、自動化及響應”(SOAR)這個術語，用以描述脫胎于事件響應、安全自動化、案例管理和其他安全工具的一系列新興平臺。

企業戰略集團(ESG)首席分析師 Jon Oltsik 最近的兩篇文章：《安全運營、自動化和編排的進化》、《以分析師為中心的安全運營技術的興起》，點出了SOAR平臺的大幅成長。SOAR工具在應對當下最緊迫的安全問題上越來越有效，公司企業對SOAR工具的需求也因此而越來越旺盛。正如Oltsik所指出的，最近幾年科技巨頭對SOAR供應商的一系列并購，已經反映出了此類平臺的前景。

SOAR地位的急速上升受到當前解決方案提供的一些關鍵改進的驅動，包括降低實現門檻，以及推動這些平臺更容易被更多安全團隊和零售業、醫療行業和政府之類對新技術反應遲緩的行業所采納。

原生功能的擴張

最初，市場上很多SOAR平臺的功能非常有限，自動化和編排只適用于處理少數事件。雖然這些產品為安全團隊提供了一些節省時間的可能性，但其有效性卻受到了適用面窄和缺乏深度的限制。

SOAR當前進化中的一部分，正是其所提供功能的日趨成熟。伴隨著越來越復雜的自動化策略和與其他安全工具的井噴式集成，自動化和編排功能已成長成熟，擴展了分析師使用SOAR過濾大量噪音找出真正威脅的能力。

SOAR平臺如今還提供更深層次的功能集，更便于處理大型調查和重大事件。其中就包括案例管理模塊，還有能方便SOC內部及外部通信、協作和任務管理的一系列工具。如今的事件太過復雜，以致響應團隊無法承擔在各工作流和報告環節間人工協調的開銷，尤其是在有著嚴格合規要求的公司企業中。功能上的深入，讓SOAR成為了推動長期系統性改進的工具，而不僅僅被用作短期警報分流工具。

無需更多經驗

SOAR平臺的進化，減輕了對用戶經驗的需求。供應商以預構建策略、導向性調查工作流和自動化警報分級的形式，在產品中內置了安全專業知識。

自動化與編排功能還進化到了無需用戶懂得該自動化哪些東西，就能與現有安全框架融合的程度。SOAR平臺仍會在重大動作上征詢分析師的批準，但分析師已不再需要是自動化和編排方面的專家。

另外，SOAR平臺收集和上下文豐富威脅情報的能力，也更方便了初級分析師在事件響應過程中做出正確的決策。技術發展太快，公司企業往往急于買入新技術，卻疏于培訓和招募在其獨特環境中集成并運用上新技術所需的人才。SOAR在輔助初級分析師正確決策上的功能進化，正好彌補了公司企業在這方面的不足。

“單一面板”

“單一面板”這個術語，指的是能裝下分析師所需全部信息的一個統一的控制臺，是安全運營世界里的神物。然而不幸的是，供應商往往會夸大自身交付此類接口的能力。不過，SOAR平臺的進化正將他們拉近實現中心化儀表盤的前景。

SOAR平臺追求單一面板的主要優勢在于編排，編排的概念具有集成整個安全技術棧的潛力。SOAR平臺可利用與其他產品的合作關系來實時交換詳細信息，分析來自威脅情報源的數據，甚至讓分析師具備從SOAR界面直接采取行動的能力。當前安全事件的復雜性，需要這種跨人員、技術和過程的無縫協同，否則，各界面間切換浪費掉的每一秒都在增加風險。

SOAR將走向何方

雖然有了大幅進展，SOAR依然是一個相對較新的領域，還有很多創新等著我們去引爆。自動化和編排已經進化成了不可或缺的工具，而很快，他們還將在很多平臺上得到來自機器學習、人工智能和其他新興技術的補充。

我們很容易對網絡安全的未來感到焦慮，因為攻擊方法越來越復雜，國家支持的黑客行動此起彼伏，安全人才短缺愈演愈烈。不過，SOAR對SOC能力的倍增作用，應該能給安全團隊帶來一些慰藉。

本文轉載自“安全牛”，原文作者：nana