自动化和编排已发展成了不可或缺的安全工具。
2017年,Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语,用以描述脱胎于事件响应、安全自动化、案例管理和其他安全工具的一系列新兴平台。
企业战略集团(ESG)首席分析师 Jon Oltsik 最近的两篇文章:《安全运营、自动化和编排的进化》、《以分析师为中心的安全运营技术的兴起》,点出了SOAR平台的大幅成长。SOAR工具在应对当下最紧迫的安全问题上越来越有效,公司企业对SOAR工具的需求也因此而越来越旺盛。正如Oltsik所指出的,最近几年科技巨头对SOAR供应商的一系列并购,已经反映出了此类平台的前景。
SOAR地位的急速上升受到当前解决方案提供的一些关键改进的驱动,包括降低实现门槛,以及推动这些平台更容易被更多安全团队和零售业、医疗行业和政府之类对新技术反应迟缓的行业所采纳。
原生功能的扩张
最初,市场上很多SOAR平台的功能非常有限,自动化和编排只适用于处理少数事件。虽然这些产品为安全团队提供了一些节省时间的可能性,但其有效性却受到了适用面窄和缺乏深度的限制。
SOAR当前进化中的一部分,正是其所提供功能的日趋成熟。伴随着越来越复杂的自动化策略和与其他安全工具的井喷式集成,自动化和编排功能已成长成熟,扩展了分析师使用SOAR过滤大量噪音找出真正威胁的能力。
SOAR平台如今还提供更深层次的功能集,更便于处理大型调查和重大事件。其中就包括案例管理模块,还有能方便SOC内部及外部通信、协作和任务管理的一系列工具。如今的事件太过复杂,以致响应团队无法承担在各工作流和报告环节间人工协调的开销,尤其是在有着严格合规要求的公司企业中。功能上的深入,让SOAR成为了推动长期系统性改进的工具,而不仅仅被用作短期警报分流工具。
无需更多经验
SOAR平台的进化,减轻了对用户经验的需求。供应商以预构建策略、导向性调查工作流和自动化警报分级的形式,在产品中内置了安全专业知识。
自动化与编排功能还进化到了无需用户懂得该自动化哪些东西,就能与现有安全框架融合的程度。SOAR平台仍会在重大动作上征询分析师的批准,但分析师已不再需要是自动化和编排方面的专家。
另外,SOAR平台收集和上下文丰富威胁情报的能力,也更方便了初级分析师在事件响应过程中做出正确的决策。技术发展太快,公司企业往往急于买入新技术,却疏于培训和招募在其独特环境中集成并运用上新技术所需的人才。SOAR在辅助初级分析师正确决策上的功能进化,正好弥补了公司企业在这方面的不足。
“单一面板”
“单一面板”这个术语,指的是能装下分析师所需全部信息的一个统一的控制台,是安全运营世界里的神物。然而不幸的是,供应商往往会夸大自身交付此类接口的能力。不过,SOAR平台的进化正将他们拉近实现中心化仪表盘的前景。
SOAR平台追求单一面板的主要优势在于编排,编排的概念具有集成整个安全技术栈的潜力。SOAR平台可利用与其他产品的合作关系来实时交换详细信息,分析来自威胁情报源的数据,甚至让分析师具备从SOAR界面直接采取行动的能力。当前安全事件的复杂性,需要这种跨人员、技术和过程的无缝协同,否则,各界面间切换浪费掉的每一秒都在增加风险。
SOAR将走向何方
虽然有了大幅进展,SOAR依然是一个相对较新的领域,还有很多创新等着我们去引爆。自动化和编排已经进化成了不可或缺的工具,而很快,他们还将在很多平台上得到来自机器学习、人工智能和其他新兴技术的补充。
我们很容易对网络安全的未来感到焦虑,因为攻击方法越来越复杂,国家支持的黑客行动此起彼伏,安全人才短缺愈演愈烈。不过,SOAR对SOC能力的倍增作用,应该能给安全团队带来一些慰藉。
本文转载自“安全牛”,原文作者:nana