Gartner 2019年SOAR市场指南简要分析

相比2017年Gartner对SOAR技术的洞察1,2019年的市场指南2有些新增的SOAR技术和市场发现。

关键发现

  1. SOAR的早期客户,在近一年的时间内,Use Case的实施毫无进展,限制了SOAR在安全运营工作中的潜力发展;
  2. SOAR方案并不是即插即用。即使SOAR方案有内置的Use Case,但是企业还是声称必须购买好几个星期的专业服务来初始化部署他们的Use Case,因为每个企业的流程和安全产品、技术都不一样;
  3. 编排和自动化往往是在某个局部的安全产品中实现,这种方式不是最优的全功能的SOAR方案。

对安全运营主管的建议

  1. SOAR产品的内置功能、与其他产品的集成仅仅是开始,很少有安全运营团队不需要定制化SOAR产品;
  2. 实施SOAR的时候,需要外部厂商的服务和内部安全人员的能力相结合;
  3. 现阶段独立的SOAR厂商收购事件很多,安全主管需要有备用方案,以防现有SOAR供应商被收购。

SOAR的市场

市场规模

Gartner预测,从2018年到2023年五年时间,市场规模会到5.5亿美金。

购买驱动力

  1. 安全运营工作优化;
  2. 威胁监控与响应;
  3. 威胁调查与响应;
  4. 安全情报管理。

SOAR的收购

最近3年,传统安全厂商通过收购的方式来获得SOAR能力,成为现有安全方案中的一部分。但是Gartner认为SOAR需要是与安全产品厂商无关的方案,才能充分发挥SOAR的潜力和价值。在这种收购风潮下,独立的SOAR厂商会继续做的更好。

MSSP厂商

MSSP安全服务厂商在产品中内置了SOAR的能力,Gartner认为在未来三年多数MSSP厂商会内置SOAR能力。

Use Case成为决定因素

有些客户非常看重已有方案的Use Case。有些客户使用Use Case的主要目的是加快事件响应时间,省下时间来进行人工分析和响应。

很多SOAR厂商支持与SIEM对接,对安全事件上下文做了富化(enrichment),对接了安全情报平台和关联分析,但是缺卡在了Use Case的能力上。

也有客户不愿意放弃工单方式的安全运营工作,这样SOAR方案的价值得不到体现。

定价模式

现阶段,SOAR的定价有以下几种:

  1. 按分析师人数定价;
  2. 按处理的安全事件定价;
  3. 按playbook的个数,或者action的个数定价;
  4. 按平台功能分层定价:如基础版、高级版等。
  1. Web:Innovation Insight for Security Orchestration, Automation and Response | Cloud Solutions Architect
  2. Web:Market Guide for Security Orchestration, Automation and Response Solutions – 知识库

Leave a Reply

Your email address will not be published. Required fields are marked *