SOAR 已死，死神永生

商业智能公司 Gartner 将安全编排、自动化和响应标记为“过时”，但自动化和简化安全操作的斗争仍将继续。

Gartner 给予的东西，Gartner 也可以带走。

七年前，这家商业智能公司的分析师创造了“安全编排、自动化和响应”（SOAR）一词来描述他们所认为的一类新产品：集成的安全操作不仅可以检测威胁和问题，还可以使用剧本来增强事件响应人员的努力，并最终完全实现响应自动化。

因此，难怪 Gartner 两个月前将该技术标记为“在达到稳定期之前已过时”——这意味着该类别在成为成熟的 IT 工具之前已停滞不前——引起了轩然大波。客户纷纷向该公司询问这一称号意味着什么。安全自动化领域的供应商则更为直言不讳。

任何认为 SOAR 已死的说法都是“我听过的最愚蠢的说法——绝对愚蠢”，安全运营自动化提供商 Swimlane 的首席执行官 James Brear 表示。“如果你只是删除 [术语] SOAR 并添加自动化这个词，[那么这种断言] 听起来很荒谬。这有点像说人工智能正在消失。”

SOAR 并不是第一个被 Gartner 评为“炒作周期”的技术。2022 年，数据网格在达到平台期（更正式的说法是“生产力平台期”）之前就过时了。2020 年，Gartner 为需求驱动的物料需求计划（一种供应链管理方法）贴上了这一标签。2010年的电力线宽带也是如此。

Gartner 在解释其技术成熟度曲线模型时表示：“这种过早淘汰通常是由于竞争技术的出现所致 - 例如，模拟高清电视让位于数字高清电视。”

Gartner 高级主管分析师 Eric Ahlm 表示，在最新的案例中，将 SOAR 标记为过时是因为该产品类别的组件已被其他产品和服务所取代，而自动化越来越成为一种预期功能。这位分析师解释说，安全运营中心 (SOC) 需要编排作为一项独立功能，以将不同的产品集成到单一运营中心，随着企业客户寻求简化运营，供应商进一步整合其服务，将 SOAR 与其他产品和服务整合在一起。

一系列并购凸显了这一趋势。Palo Alto Networks于 2019 年收购了 Demisto，并于今年早些时候从 IBM 收购了 QRadar。Rapid7于 2017 年收购了 SOAR 公司 Komand ，SumoLogic于 2021 年收购了 DFLabs。

Ahlm 说：“有很多不同的方法可以增加自动化——通过自动化提高效率或扩大规模——而无需出去购买独立的专用 SOAR 平台。”“这才是我们真正要呼吁的——不是自动化的终结，也不是说它是一个死胡同——但我认为，只销售专用自动化平台的供应商领域……未来前景并不光明。”

需求：简化的安全中心

大多数公司都希望有一个中心来管理所有安全信息，以便管理事件、开展调查和应对威胁。SOAR 最初被设想为这个中心枢纽，但产品之间的强大集成、更好的自动化以及对可见性的关注意味着其他产品现在可以充当这一角色。

换句话说，中央枢纽不一定是 SOAR。Ahlm 表示，安全运营平台的选择越来越取决于企业的起点以及它认为哪个核心平台能带来最大的价值。例如，扩展检测和响应 (XDR) 以及安全事件和信息管理 (SIEM) 平台越来越成为公司的安全焦点。

自动化安全运营平台提供商 Sumo Logic 的现场首席技术官 Chas Clawson 表示，SOAR 的功能（集成、可见性和自动响应）已经迁移到各种安全产品中。

“这显示了安全运营领域的成熟度，当像自动化这样关键的东西成为赌注时，每个解决方案都必须具有某种自动化的风格，”他说。“这可能早就应该出现了，因为……防御者方面存在痛苦——分析师倦怠和转椅综合症……[我们真的需要一些缓解]。”

Sumo Logic 有自己的 SOAR 产品——Cloud SOAR——专注于集成来自不同 IT 设备、安全产品和云服务的数据流，以及实现安全操作的自动化。

仍然有更好的 SOAR 的有力例证

SOAR 背后的另一家公司是网络安全公司 Palo Alto Networks，该公司在安全自动化方面投入了双倍的资金。该公司的安全运营中心每天接收 360 亿个事件（超过 75 TB），而人工分析师只有 10 名。在其用例中，该公司表示其 Cortex XSOAR 可自动化 16 名分析师的工作，并将手动操作所花费的时间减少 90%。

Palo Alto Networks Cortex 和 Prisma Cloud 产品高级副总裁 Gonen Fink 表示：“通过标准化和自动化耗时的手动任务，SOAR 解决方案可大幅减少事件响应所花费的时间。虽然许多独立安全产品将继续集成某种程度的自动化，但 SOAR 解决方案提供了更强大的功能，可在整个组织的技术堆栈中协调和自动化各种操作。”

Swimlane 还专注于自动化安全任务和事件响应，通常针对财富 2000 强等大型公司。Swimlane 的 Brear 说，该公司成立于 2014 年（据称比 Gartner 创建现代术语 SOAR 早三年），其方法是收集来自所有 IT 设备的数据和来自安全产品的情报，然后自动对任何已发现的事件做出响应。

“公司成立的初衷是‘我们如何才能让 SOC 变得更好？’”他说，“如果你回顾过去，SOC 人员当时正在研究无数种不同的工具——想要获得可见性是一件非常复杂的事情。”

出于这些原因，独立的 SOAR 平台对于许多公司来说是一种必要且合理的安全方法 - 而且远非过时 - 但分析公司 Omdia 表示，客户将继续需要与常见技术（如微软和托管检测和响应 (MDR) 平台）更好地集成。

Omdia 高级分析师 Elvia Finalle 表示：“安全技术的用户希望拥有易于使用、只需最低限度的培训且易于集成的解决方案。SOAR 供应商必须继续适应平台并扩大与其他供应商和解决方案的兼容性。”

人工智能 + 自动化 = 安全进化

Omdia 首席分析师 Eric Parizo 表示，虽然 SOAR 的核心用例仍然强劲，但人工智能、自动化和当前大量的网络安全产品的结合将产生一个可以从 SOAR 系统（例如支持 AI 的下一代 SIEM）手中夺取市场份额的平台。

“SOC 决策者们并不打算购买编排和自动化产品，而是希望解决如何促进更快、更高效的 TDIR [威胁检测、调查和响应] 生命周期并取得更好、更一致的结果的问题，”他说。“独立 SOAR 解决方案中的编排和自动化功能旨在促进这些业务目标的实现。”

Sumo Logic 的 Clawson 表示，人工智能和机器学习将继续不断增强自动化。他说，虽然创建处理数据并自动响应威胁的人工智能安全代理仍处于起步阶段，但该行业显然正在朝着这个方向发展，尤其是随着越来越多的基础设施使用“即代码”方法，例如基础设施即代码。

其结果可能是减少对 SOAR 的需求的方法。

“当你拥有这项 Copilot 技术时——你听说过‘代理化’这个词，即你可以随意使用这个代理来做任何你想做的事情——这会削弱 SOAR 的价值，”Clawson 说。“因为人工智能可以成为一名专业的编码员和开发人员，而且它可以访问每个 API 和所有文档，所以你几乎可以开始以更人性化的方式与系统交互。”

↑↑↑长按图片识别二维码关註↑↑↑