SOAR虽然活着，但它已经死了！

【2】

那么，国内对SOAR这件事儿怎么看？Benny Ye在他的文章后面也做了一个小调查：

图：关于SOAR的调查

50.83%的朋友认为SOAR将被整合，现在独立SOAR机会不大，但作为一个有价值的自动化能力，应该整合到SIEM/SOC平台等技术中去。

29.17%的朋友认为都是概念炒作，无所谓过时不过时，关键是安全自动化技术如何有效的提升安全运营效率。

下面也有朋友这样留言：

安全编排本身对甲方就是个伪命题，99%的甲方都没有编排能力，剩下1%所谓的编排也是在通用剧本的基础上调一下阈值，改一下执行顺序而已。

甲方要的就是能开箱即用的傻瓜自动化产品，这才能最大化降本增效。

我觉得说得有道理：不好用，一直是创新类安全产品的问题；不敢用，一直是甲方采购创新类产品的问题。

然后，数世咨询就发了一篇的文章，让我仿佛看到了高耸的纪念碑。

图：SOAR永垂不朽

数世咨询把Gartner的这一言论归结为“七年之痒”：

七年前，Gartner 的分析师创造了“安全编排、自动化和响应”（SOAR） 一词来描述一类新产品：集成化的安全运营。它不仅可以检测威胁和问题，还可以使用剧本（playbook）来增强事件响应者的工作，并最终实现响应的完全自动化。

七年后， Gartner将这项技术贴上了“过时”的标签，这意味着该类别在成为成熟的IT 工具之前已经停滞不前，这引起了一场混乱。

七年了，对于一个技术来说，确实已经老了。

但是，如果大家真的认为SOAR已经老了，那SOAR就真是“未老先衰”。

因为SOAR在国内的出现，还有另外一个使命。

国内有三大态势的说法：监管态势（SA）、运营态势（SOC）、威胁态势（SIEM）。

据我所知，这三大态势产线都已经偷偷将SOAR的能力进行了集成，所以SOAR作为独立单品存在的意义确实不大了。

但是，SOAR还有另外一个光荣的使命：成为拟合异构安全设备的“超平台”。

如果把时间往回拉，其实在很久很久以前，就已经有SOC产品了。

但那时候SOC的目标是将不同品牌的产品进行统一纳管，但是失败了，所以SOC类产品就沉寂了很多年。

直到“态势感知”概念爆火，又带红了曾经的僵死的SOC平台。

然后SOAR就出现了，它希望能够继承当年SOC的遗志，把不同品牌的不同设备形成一个体外循环的“大自动化系统”。

国外的SOAR产品我不太了解，但是国内一些SOAR产品，其实大部分的工夫是花在对异构设备的API级别的适配上。

但是，但是二十年前无法解决的异构设备统一纳管问题，现在能真的解决吗？

我想说：不能。

因为同一品牌产品之间的联动，到目前为止，都没有一家厂商能做到。

对，你没有听错，到目前为止，没有一家能做到！

那么，我怎么相信，这些厂商愿意把接口无条件开放给一个外人呢？

所以，SOAR虽然活着，但它已经死了！

注：文后参考链接，已经加上了链接地址，你可以直接点击查看引用的资料原文，祝阅读愉快！

如果对我描述的安全世界感兴趣，可以翻翻“没有名人作序、没有名人题词”的我为你写的“一本纯粹的安全认知之书”：

欢迎来到安全的大航海时代！

点击文末【阅读原文】,看到一个完整的安全系统