Gartner一句“SOAR已过时”引发热议
2024年7月底,Gartner发布了2024年度的安全运行(SecOps)技术与服务成熟度曲线(Hype Cycle)。报告中,Gartner正式表示SOAR“已经过时(obsolete)”,进而在业内引发热议。
之前主打SOAR现在改打“安全自动化”的厂商Swimlane的CEO James Brear在X上表示:“任何有关SOAR已死的提法都是我听过的最愚蠢(dumbest)的事情——绝对愚蠢(absolutely asinine)”
IBM产品管理副总裁及SOAR产品Resilient(被IBM收购)的联合创始人Ted Julian在Linkedin上愤怒的表示:“鉴于Gartner正在取消SOAR,我要……取消Gartner”。Ted更是直言Gartner的分析和业务模式已经过时。
而针对Ted在Linkedin上的发言,有人赞同有人反对。有人表示,这对于正在进行下一代SOAR(AI SOAR)创业的公司来说是一个打击【笔者:换个名字不就好了】。
D3 Security的一位产品市场经理表示,尽管Gartner将SOAR归为过时产品,并且出现了一些不再使用SOAR缩写的新SOAR公司,但SOAR市场仍在增长,并估计每年有超过10亿美元的交易,这说明SOAR有市场。
这类声音的核心意思是认为SOAR技术依然存在,虽然遇到很多问题,但依然有其市场空间,并且还在不断改善和演进。
还有不少公司也在官网博客上发表观点,赞同Gartner的观点,并为自己的产品打Call。
号称下一代SOAR(超级自动化)的厂商Torq表示,“SecOps专业人员对过时的、传统的SOAR产品深感不安”,“基于GenAI的安全自动化是现代企业的发展方向”,然后表示自己的产品代表SOAR的未来。
标榜“安全自动副驾”Blink表示,“SOAR已经过时”,“网络安全的重点显然正在转向更先进的自动化工具,尤其是那些由GenAI驱动的工具”。
StrikeReady的首席客户官表示,“SOAR就不是一个产品类别”,“作为一个功能集合,它早就失败了”,然后就给自己的产品打Call。
网络上,还有很多“XX已死,XX永生”的言论。
Google云安全首席营销官及前Siemplify首席营销官Nimmy Reichenberg则表示赞同Gartner关于SOAR已经过时的提法,认为SOAR已经是大多数安全运营平台的一部分,不再值得作为独立产品类别了,就像以前的UEBA那样,并不是说不需要SOAR了,而是演变成了大平台的功能。
Exabeam首席战略官及前Gartner分析师Gorka Sadowski发表了一篇题为《SOAR已死,SOAR永生》的文章,提及了SOAR的起源、繁荣和当前遇到的困境,表示SOAR就跟UEBA一样,作为独立市场基本消失,更多融入到了其它市场(譬如SIEM)中。他写道:“是否还需要独立SOAR工具?有时需要,但更多组织可以利用他们技术栈中已有工具的SOAR功能,尤其是SIEM和CloudSec工具。”
Sumo Logic的Field CTO Chase Clawson表示,SOAR功能已经迁移到各种安全产品之中。
在Linkedin上也有不少类似的声音。其核心思想就是说,SOAR技术本身并未过时,SOAR还是很有价值的,否则为什么Gartner的这份Hype Cycle依然详细分析了SOAR技术,并明确给出了他的价值,以及用户应该如何选购SOAR的建议?Gartner想要表达的主要是独立SOAR市场已经过时了。
对于SOAR已过时的论断,各位读者怎么看?欢迎参与小调研,或者留言交流。
在深入讨论SOAR是否已死之前,让我们先回顾一下SOAR的发展历程,当前面临的困境和市场格局,以及发展趋势。
SOAR的发展历程
Gartner在2015年发明了SOAR这个术语,并在2017年正式确立了现代SOAR的定义。
目前,SOAR的最新定义是:
SOAR是一个将事件响应、编排和自动化以及威胁情报管理功能组合成的单一解决方案。SOAR 工具可用于许多安全运营任务,例如记录并实施流程,支持安全事件管理,向人类安全分析师和操作员提供基于机器的协助,以及更好地实现威胁情报实战化。
根据Gartner的定义,SOAR是包含安全编排与自动化(SOA, Security Orchestration and Automation)、安全事件响应平台(SIRP, Security Incident Response Platform)和威胁情报平台(TIP, Threat Intelligence Platform)的三合一解决方案,主要旨在解决安全运营(SecOps)的事件响应环节的自动化和闭环,捎带进行自动化的威胁情报管理与利用,后来又发展到可以自动化处理安全运营各个环节的任务。
在SOAR之前,安全运营人员先是借助自定义的脚本实现原始的自动化,后来又借助IT运营自动化工具,以及RPA等面向跨系统工作流程的通用自动化平台。而SOAR正是基于之前这些实践基础上专门面向安全运营的自动化技术。
在SOAR技术处于Gartner技术成熟曲线炒作高峰的那段时间,人们对SOAR的期待很高,给人感觉SOAR自动化能力“没有上限”。
SOAR面临的困境
随着SOAR实践的深入,SOAR暴露的问题也越来越多。
首先,人们再次认识到安全运营作为一种人、技术和流程相结合的产物,不存在技术上的银弹。SOAR技术也一样,它严重依赖组织的安全运营流程和规程,需要投入资源进行剧本的设计与开发,并要持续投入。人们发现,对于中小型组织或者安全运营成熟度不高的组织而言,上SOAR的投入产出比可能不高。
其次,基于预置剧本的编排更适合那些机械式重复的、相对简单和固化的工作任务的自动化。对于一些复杂的、时常变化的工作过程,采用剧本编排则很容易陷入无止尽的开发、修改过程之中。而不幸的是,网络安全领域的攻防变化太快,响应过程分支情况太多。
再次,与各类第三方系统和工具的对接和集成也成为了制约SOAR发展的瓶颈。
SOAR的演进
为了应对上述挑战,SOAR厂商们也在尽力改善。当前,所谓的“下一代SOAR”的主要功能都反映在如何改善上述问题上。现在的“下一代SOAR”主要有两个发展方向。一个是向所谓“超自动化SOAR”方向发展(譬如Torq),旨在将安全编排自动化技术的应用领域向安全运营之外扩展,成为通用安全自动化工具。同时,充分采用低代码-无代码开发技术,降低剧本开发难度和成本。此外,预先开发好大量第三方应用接口,并内置大量剧本模板,再以应用市场和社区的形式进行发布,降低用户的使用门槛。另一个发展方向则是“AI SOAR”或“AI SOC助理”(譬如DropZone.AI),使用GenAI技术实现一个“网络AI助理”,用智能化改造基于剧本的编排自动化。
此外,SOAR厂商们也逐步总结了一套剧本设计开发的方法论,并不断将SOAR的价值聚焦到基于剧本的编排技术能够驾驭的应用场景上去。
SOAR市场格局
在SOAR技术不断演进的同时,SOAR市场格局也经历了巨变。
从安全运营的角度来看,正是由于自动化和响应如此重要,响应技术(包括自动化响应)已经不再是SOAR的专属。检测类产品纷纷布局响应,出现了各种DR(检测与响应)类产品,从NDR、EDR到后来的XDR,纷纷内置(简化的)SOAR能力。而作为SOC核心的SIEM产品也在朝TDIR方向前进,大力发展响应自动化技术,并成为SOAR厂商的最大买家群体。
如上图所示,入围Gartner2024年SIEM魔力象限的所有SIEM厂商都有SOAR,要么自研,要么收购(主要方式),要么是SIEM产品中的一个模块,要么是SIEM产品套件中的一个子产品。
Gartner在2023年的SOAR市场指南报告中就指出,SOAR整合到各种TDIR类产品中的趋势已经十分明显。
Gartner的观点解读
对SOAR进行了全面审视之后,我们再回过头来研究Gartner的观点。
在2024年2月份的时候,笔者跟Gartner分析师Pete Shoard进行了一次Inquiry,当时就询问他对SOAR未来的看法,SOAR市场是否会消失。Shoard当时就委婉的表示,SOAR将更多的融入SIEM中,但独立SOAR还存在于某些缝隙(niche)市场。同时,Shoard表示Gartner对GenAI应用于安全(包括SOAR)持审慎态度。笔者理解,GenAI作为革新SOAR或者安全自动化的技术还有较长的路要走。
今年8月份,Dark Reading对Gartner的SOAR过时论点进行了专门的文章报道。文章引述了Gartner SecOps Hype Cycle报告中SOAR词条的主笔分析师Eric Ahlm的话。他表示,将SOAR标记为过时是因为该类产品的组件已经被其它产品和服务所取代。当前,自动化越来越成为一种众人期待的功能,SOC需要编排作为一项单独的功能,将分散的产品集成到单一的运营中心。同时,由于企业客户越来越倾向于简化运营,因而供应商纷纷将SOAR与他们的产品和服务进一步整合到一起。Ahlm进一步表示,Gartner真正要传递的信息,不是说SOAR这个概念过时或者自动化已经终结,而是有很多不同的方法可以增加自动化(以提升效率、扩大规模),而无需去购买独立的SOAR平台。
总结一下,笔者认为Gartner的观点是:
基于三方面原因——1)随着自动化技术越来越渗透到各类安全产品(尤其是SIEM)中,独立SOAR厂商和产品越来越少;2)SOAR自身面临各种落地障碍,需要将SOAR与其它产品能力相结合来化解其中的一些障碍;3)用户对于供应商和产品能力整合的呼声越来越高——Gartner呼吁用户更多考虑在SIEM等其它SOC核心产品平台中考虑使用SOAR功能,而不要使用独立SOAR。因此,Gartner将SOAR标记为过时,独立SOAR产品将不再是主流产品,独立SOAR市场将逐步萎缩,仅存在于某些缝隙市场,但SOAR技术将在其它产品和市场中继续发展演进。
顺便提一下,笔者在8月份的时候,针对SOAR的未来发展趋势也咨询了Forrester的分析师Allie Mellen。她表示,独立SOAR依然会存在,但它也会变成更广泛产品的一个能力,因为越来越多的客户在购买其它产品时都会需要这个自动化的能力。对于SOAR未来技术趋势,她认为除了GenAI之外,还要关注低代码-无代码能力,以及诸如案例管理、协作管理等安全运营功能。
SOAR在中国的未来
那么,中国SOAR市场未来走势如何?笔者认为,其实在国内尤其更加需要独立SOAR产品。因为当前国内大部分客户的SOC/SIEM平台都不具备SOAR能力。在用户彻底更换为下一代具有SOAR功能的SOC平台之前,还需要购买独立SOAR来弥补现有平台的这部分不足。而鉴于当前的中国经济不利局面,用户花费大量资金投资于下一代SOC替换以前大额投资的意愿不高,会倾向于采用“向存量投资要效益"和"查漏补缺"的方式来完善其SOC。因此,在中国,独立SOAR的机会仍然很多。
不论SOAR是否独立存在,还是被整合到SIEM或其它产品中,SOAR技术都必须继续演进。
在技术发展趋势方面,需要让SOAR更加易于实施和维护,要降低用户使用成本,譬如积极引入低代码-无代码开发技术降低用户设计开发剧本的难度,积极探索利用GenAI增强现有的SOAR能力。功能上,应该继续深化作战室功能,把SIRP平台做好。对于Gartner提及的TIP部分,鉴于国内的实际情况,建议由专门的TIP承接,在SOAR产品中更多考虑如何利用好威胁情报即可。此外,应内置尽可能多的剧本和APP,提升产品开箱即用的程度。最后,要优化剧本开发方法论,教育用户树立正确认知,聚焦投入产出比高的应用场景,避免造成“SOAR万能自动化”的假象。
最后,作为中国SOAR厂商,应该在继续发展独立SOAR的同时,将SOAR与SOC平台进行整合。
【参考】
https://www.darkreading.com/cybersecurity-operations/soar-is-dead-long-live-soar