“SOAR的预期功能包括编排和自动化、事件和案例管理以及实战化威胁情报。然而,这些功能也被嵌入到现有的安全技术中,如安全信息和事态管理(SIEM)、扩展检测和响应(XDR)以及电子邮件安全。”近日,国际权威机构Gartner正式发布了2022年《Market Guide for Security Orchestration, Automation and Response Solutions》报告,详细分析了SOAR的市场发展情况并给出相关建议,帮助政企组织安全负责人正确评估SOAR如何支持和优化其更广泛的安全运营能力。其中,奇安信被列为具有代表性的供应商(Representative Providers)之一。此外,奇安信SOAR还曾在2个月前入选Forrester报告。
Gartner将SOAR定义为“将事件响应、流程编排自动化及威胁情报平台管理功能集中在一起的解决方案”。“SOAR产品可用于记录和实施流程、支持安全事件管理、将基于机器的协助应用于安全分析师和操作员、更好地运用威胁情报等多项安全操作。工作流程可以通过与其他技术的集成来进行编排,并自动化实现预期结果,如事件分诊、事件响应、威胁情报(TI)采集与管理及其他新的应用案例。”Gartner对于这一市场的描述为:“SOAR 解决方案是三种历史上不同的技术的融合,这些技术具有一些常见的属性和一些使用它们的普通用户。这些技术在历史上是独特的,并以一种形式为安全运营团队提供实用程序可以减轻大量体力劳动以提高安全性的产品运营职能。”
同时,Gartner在市场指南中提到,选择SOAR解决方案时应该注意以下五点:“其一,支持多个现有单点解决方案市场中的各种安全产品,如终端、防火墙、入侵检测和防御系统(IDPS)、SIEM、安全电子邮件网关、SSE和漏洞评估技术。其二,支持执行事件关联和聚合的能力,旨在通过更好的事件丰富功能改进安全操作流程和告警,实现这一点的一个关键方法是低代码剧本,允许可以应用自动化来进行改进一致性、节省时间的流程编码。其三,能够部署在内部或作为云解决方案(例如SaaS)。其四,支持从第三方来源获取各类形式的威胁情报,支持开源、行业和政府信息共享和分析中心[ISAC]和计算机应急响应团队[CERT]以及商业提供商。其五,与IT 运营解决方案双向集成,例如将工单系统与案例管理和协作工具集成,或者与消息应用集成以更好地实时沟通。”
Gartner表示,“商业SOAR供应商可以分为——以产品组合为中心和一般通用型两类”,并梳理了最常见的使用案例,如 “SOC优化,流程自动化与分析师协作,威胁检测、调查与响应,以及威胁情报的管理与运用”。此外,评估SOAR技术优势应包括“告警分诊与优先级排序、流程编排与自动化、案例管理与协作、仪表板与报告、实战化威胁情报与调查”。
曾多次上榜国内外权威报告的奇安信SOAR,此次也被Gartner列为具有代表性的SOAR供应商之一。奇安信SOAR具备区别于其它同类产品的5大关键能力——安全能力编排化、安全流程自动化、告警响应智能化、案例管理协作化、系统架构开放化。此外,SOAR新加入的协同作战室功能,还能让安全工程师实时沟通、并内置大量自动化剧本和命令,进一步提升人机协同作战效率。
正如Gartner所言:“安全技术市场处于普遍超负荷状态,预算和员工压力大、单点式解决方案过多成为组织中普遍存在的问题。原则上,自动化在解决这些问题上具有很大前景。”针对这种情况,奇安信SOAR可以帮助企业和组织将复杂的安全操作(尤其是安全响应)流程整理成行动方案和剧本,将离散的安全工具和功能转换为可编程的应用和动作,并使用编排和自动化技术协调团队、工具和流程,有效解决了企业和组织安全运营响应人员不足、安全事件响应不及时、运营维护工作重复、安全设备之间缺乏协同且联动性差等问题。
除了常态化的安全运营工作外,在重大活动网络安全保障期间,奇安信SOAR还可以帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验,全方位提升实战化、体系化、常态化安全运营水平。
Gartner表示,从市场方向上看,“随着人们对在安全操作中应用自动化需求的认识不断提高,特定于SOA的功能也正在其他安全技术中出现。融入SOAR的技术包括SIEM、XDR、电子邮件安全性等。SOAR已经成为其他安全技术和服务的一项功能,SOAR继续连接不同的解决方案,并为安全运营环境创建一个控制平面。”
基于奇安信完善的全产品体系,奇安信SOAR与公司的NGSOC共同形成了安全分析与运营套件解决方案,还能与公司其它产品(如天眼、椒图、天擎)一起形成专项解决方案,作为各类解决方案中的关键一环发挥协同作用。