Gartner 2017年对SOAR的技术洞察简要解析

客户问题

  1. 安全人员少;
  2. 安全产品检测出来的事件多;
  3. 攻击危害性越来越大;
  4. 客户需要从外部安全情势理解自身的安全状态。

SOAR的定义

SOAR指的是安全(Security)事件处理的编排(Orchestration)、自动化(Automation)和响应(Response)。

SOAR使组织能够从不同来源收集安全威胁数据和警报,在这里可以利用人力和机器力量相结合来执行事件分析和分类,以根据标准工作流程帮助定义,划分优先级并推动标准化的事件响应活动。 1

实际上,SOAR就是安全运营团队的自动化工作流程: 目标是加快响应时间。自动化工作流程需要确保安全数据得到合理的汇聚、分析处理,得到的结果是准确的。

SOAR的概念演进

  1. 2015年,Gartner认为SOAR就是安全运营团队使用安全数据进行报表输出、分析和管理支撑的能力;
  2. 2017年,Gartner认为SOAR是安全编排自动化、安全事件响应、安全情报三者的融合。

SOAR与其他产品的关系

SIEM

SIEM的做的是安全事件响应的工作,因此很多SIEM厂商扩展到了SOAR方案。

TIP

TIP安全情报平台为安全响应工作提供了威胁情报,用以确认事件的真实性;因此SOAR平台可以验证TIP数据的质量。

SOAR的功能分解

SOAR的定位是将安全运营团队的不同工作串联起来,将安全事件响应进行生命周期管理。

SOAR的功能分成四个部分:

  1. 编排:将各种产品和技术的安全能力集成在一起,只有集成在一起了才能编排组合使用;
  2. 自动:让机器替代人自动处理费时费力的响应、分析等工作;
  3. 协作:将安全响应涉及到不同角色串联起来,构成端到端的工作流;
    • 事件处理与分级
    • 事件处理记录
    • Use case编排与工作流
    • 事件分析与调查
    • 安全情报集成
  4. 报表:安全运营工作绩效、安全信息的可视化呈现。
    • 安全分析师报表:自己处理了多少事件,每个处理阶段的时间等
    • SOC主管报表:所有分析师的事件处理数量,每个处理阶段的时间等
    • CISO报表:安全风险,事件处理整体效率等

SOAR技术的落地

Gartner在2017年预计,1%的企业在使用SOAR技术。

SOAR的落地受以下因素驱动:

  1. 安全人员、能力的持续短缺
  2. 攻击情势恶化
  3. 内外部强制合规
  4. 安全产品API能力开放

目前SOAR主要是大企业在使用,但是,小企业也面临相同的问题,因此也会逐步在中小企业落地。

落地的风险:

  1. SOAR是专注于安全运营的大厂商的战场:如IBM、FireEye、ServiceNow,专注自动化编排的小厂商基本都被收购;
  2. 仅适合大企业:如果SOAR集成的安全产品少,在自动化安全运营过程中能用的安全信息较少,发挥不出SOAR的价值;现阶段,仅中大型企业有可能成功;
  3. 预算问题:SOAR作为一个方案,需要购置关安全产品,在安全预算的企业来看,很难承受。

Gartner对企业的建议

企业在安全运营过程中,需要依从SOAR工具集的方向规划,达到工作目标。

  1. 提升安全运营的有效性:缩短事件响应时间,尽量将处理工作自动化、流程化。
  2. 选择有助于SOAR运营的产品:选择具备能力开放的安全产品,方便编排和自动化;使用某种高效的沟通工具,如IM,便于安全分析人员协作;依据已有预算选择SOAR工具和产品。
  3. 更好做好安全运营工作的优先级选择:使用内部、外部上下文信息,对安全运营工作做优先级排序,需要聪明的去工作,而不是死命的工作。
  4. 专注于紧要的安全事件响应:人员有限,需要关注紧要的事件,如勒索病毒、数据泄密、钓鱼事件等等。

总结

Gartner这篇文章2,实际上是站在甲方的角度来阐述问题的,也是基于现有安全产品、SIEM中的安全事件太多的问题,给出了SOAR工具集的方向。从文章中可以看到,落地将是一个长期、艰巨的过程,但是基于企业安全运营团队的现状,需要沿着SOAR的方向去走。

  1. Innovation Insight for Security Orchestration, Automation and Response, Gartner, 2017
  2. Innovation Insight for Security Orchestration, Automation and Response, Gartner, 2017

Leave a Reply

Your email address will not be published. Required fields are marked *