SOAR 工具可用于许多安全操作任务,例如记录和实施流程;支持安全事件管理;向人类安全分析师和操作员提供基于机器的帮助;并更好地落地威胁情报的实战化。
Gartner强调,SOAR 解决方案的部署主要是为了协助 SOC 团队,在适用的情况下结合人类专业知识和自动化来自动化和协调事件响应流程。这种解决方案的另一个好处是能够通过利用自动化来提高分析师的效率。此外,SOAR 不会为用户创建所有流程和工作流——它只是帮助您运行它们——因此,除非您有一个拥有流程的团队,否则 SOAR 可能不是您的起点。
Gartner反复强调了先流程后SOAR的观点,笔者也对此进行过展开讨论,并提出了在中国市场针对流程和SOAR相辅相成的一些独特思考。
在SOAR的驱动力方面,Gartner首先列举了两个最基本的价值:
SOAR 可以提高经常折磨SOC的重复性任务的流程和执行速度,尤其是在耗时且需要很少人工专业知识的任务中。这使团队可以将更多时间花在关键任务和活动上——笔者注:这其实就是将简单确定的重复性工作机械化的自动化,在IACD中称之为“低后悔度”操作的自动化
SOAR 可以通过添加更多上下文和数据丰富来提高警报的保真度和可操作性。由于 SOC 团队需要处理大量警报,这有助于减少噪音——笔者注:这就是将SOAR用于事件调查、事件丰富化的过程,其目的不在于取代人的判断,而是辅助人去判断,提升人的判断效能。
此外,Gartner还观察到了一个特别的驱动力——SOA(安全编排与自动化)作为SOAR的核心在安全运营中占据了越来越重要的位置,其它安全技术也开始融合SOA,譬如邮件安全产品,XDR等。而根据笔者的观察,很多新型的SOAR产品主打就是SOA,并且开始引入LCAP的理念和技术。
对于SOAR的发展阻力,与市场指南中的论调一致:流程、流程、流程,还有维护!
SOAR 解决方案需要大量的前期工作才能正确配置,并且需要进行管理和维护以确保获得最大价值。需要使用和操作该工具的资源来处理活动,例如监控解决方案的运行状况、可用性和性能、更新和补丁,以及工作流和剧本的维护;
组织需要准备好记录的流程,以从手动工作流程或自动化工作流程功能中受益;
安全领导者应将 SOAR 技术的作用视为现有经过充分验证的流程的自动化,并从安全运营功能(例如警报)和部分自动化流程(例如事件分析和分类)中收集输入。
最后,Gartner给用户的建议是:
在内部评估开发 SOAR 所需功能的各项能力的可获得性。安全领导者还应该审查为拥有 SOAR 工具集所需的附加时间和成本。
在确定SOAR的需求范围时,要顾及整个安全组织。组织必须超越将新技术简单地插入SIEM的想法,要从更广泛的安全运营视角去考虑。
根据自身的和实际需求和理解去选择合适的产品,例如 SOC 优化、威胁监测与响应、威胁调查与猎捕,以及威胁情报管理。
在采购SOAR 之前定义出(尽可能)清晰的流程和剧本。尽管 SOAR 带来了很多好处,但并不是每个安全组织都准备好使用该工具,并且预留了大量时间来开发剧本。
显然,上述SOAR的价值定位、发展阻力和客户忠告都十分诚恳,展示了对SOAR的理性的再认知再定位,对于SOAR的健康发展大有裨益。
安全自动化是安全运营发展的必然,但也必须谨记,凡事没有银弹,人始终是决定因素,流程梳理是成功的关键,厂商可以只卖工具给客户,也可以将自身积累到的流程分享给用户,但无法代替用户自己的思考,自己的流程。
最后,还有一点,现阶段对SOAR的认知已经重新厘清了,不表示SOAR就定型了,事实上SOAR未来的应用场景还在不断扩展。正如Gartner所说:“SOAR 的威胁管理用例仍在不断涌现”。而笔者认为,不止是威胁管理用例,安全运营领域的其它用例也在不断涌现。
SOAR未来可期!
【参考】
如有侵权请联系:admin#unsafe.sh