为了让国内企业用户更好地了解企业安全运营自动化能力构建方法,帮助企业更好地部署应用以 SOAR 为代表的安全运营自动化产品,安全牛实际调研多家已经建设应用 SOAR 方案的甲方用户,同时基于《第八版中国网络安全行业全景图》收录结果,从产品创新性、可用性以及市场表现等维度,特别挑选出天融信、奇安信、神州泰岳、雾帜智能、安恒信息、亚信安全、山石网科、日志易(排名不分先后,以调研时间排序)等八家国产 SOAR 产品代表性厂商,分析研究其最新 SOAR 解决方案(产品),以及其近年来成功实施的典型 SOAR 应用案例,联合撰写发布《企业安全运营自动化(SOAR)应用指南》报告(以下简称 “报告”)。
2022年1月26日,报告正式线上发布,八位 SOAR 领域一线技术专家与安全牛分析师一起,就 SOAR 技术的发展现状、主要挑战、应用前景及未来发展趋势等展开研讨,超 3000 人次行业嘉宾在线观看了本次报告发布。
报告关键发现
·随着 SOAR 技术的不断成熟,其在我国企业用户的应用条件已经基本具备,相关产品已从观望期演进为应用推广期, 国产 SOAR 方案的实际应用案例开始大量出现。
调研发现,国产 SOAR 产品已经逐渐成熟完善,国内大型用户对 SOAR 的认知度和接受度也明显提升,从 2020 年下半年开始出现,SOAR 方案的实际应用案例大量出现。预计未来三年,SOAR 产品市场将快速发展。
·企业在安全编排与自动化响应方面需求快速增长。
本次报告,对 11 家已经建设应用了 SOAR 产品的企业用户进行了调研访谈,覆盖银行、保险、汽车、电子等行业,涉及产品购买原因、选型因素、运营感受以及使用效果等维度。调研发现,现阶段企业在安全运维方面大都存在周期性重复劳动多、海量安全报警、响应不及时、安全人员不足等挑战,企业对自动化安全运营及响应技术的应用需求普遍存在。
·SOAR 的技术路线相对清晰,落地的主要难点在于是否能够满足用户的复杂多变场景。
现阶段,国内安全厂商对 SOAR 的概念及技术体系比较明确,落地的难点在于是否能够真正根据用户场景实现安全编排及自动化响应,不管利用的是自己技术积累或研发实力,还是借助其他家的产品。
·应用 SOAR 解决方案对企业自身安全运营能力有较高要求,目前还处于落地应用的早期阶段。
调研发现,现阶段使用 SOAR 产品的用户均为规模较大的企业,这些企业自身具有安全运营团队或采购第三方安全服务,安全运营能力较强。这样的用户较早使用 SOAR,与其自身特点和需求分不开。首先其安全运营流程清晰、规范,为流程编排奠定基础;其次人力成本过高推动了自动化运营的需求。
·现有 SOAR 方案均需要不同程度的人工介入,自动化能力将成为未来考量 SOAR 方案可用性的重要指标。
多家安全厂商表明,未来会提高在 SOAR 中对人工智能技术的应用,有些是以智能机器人的方式为响应提供辅助决策,有些是将智能技术融入到底层能力进行模型构建、数据分析。未来,人工智能和人类智慧会逐渐在 SOAR 中结合得更加紧密。
专家观点
日志易安全产品总监施泽寰: 很多情况下,SOAR 是与 SIEM 一起结合使用,为用户提供从检测、分析到响应的整体解决方案。如果告警精准度较低或者误报率较高,而且数量比较多的话,就影响 SOAR 的发挥。所以我们建议 SOAR 与 SIEM 结合使用。除此之外,日志易认为 SOAR 解决方案的三大主要功能包括组件能力、剧本编排能力及任务管理能力。在实际落地过程中,SOAR 可用于 IP 自动化封禁和异常 DNS 请求自动化分析等场景。
山石网科安全运营业务群资深产品经理朱凯: SOAR 的本质是通过安全编排、自动化与响应技术将安全运营相关的人、技术和流程进行整合,有序处理多源异构数据,持续进行安全告警分诊与调查、攻击分析、威胁处置、事件响应,衡量并改善安全运营效率、简化安全运营管理、为安全团队赋能。其短期目标是实现手动任务和重复性任务的自动化,缩短威胁的补救时间,长期目标是从综合安全运营视角找到可以量化、标准化的抓手去提升安全运营成熟度。
亚信安全安全管理产品中心解决方案总监郭涛: SOAR 应包含威胁情报分析、安全编排自动化、安全事件响应三个主要功能,其中安全编排与自动化是 SOAR 的核心,通过编排的剧本完成从情报分析到事件响应的安全流程处理过程。使相关组织能够收集来自不同来源的安全威胁数据和警报,通过人机结合执行事件分析和分类,以帮助安全人员根据标准工作流定义,优先化和驱动标准事件响应活动。
安恒信息高级副总裁刘博: 目前,很多企业面临一个困境是,建立了态势感知系统,但是用不好。SOAR 技术的出现缓解了这一难题。从安恒多家客户的实际应用场景来看,SOAR 可以替代大概 80%-90% 的人力工作。我们预期,在未来的 3-5 年中,SOAR 是一项非常关键的技术,也能够最大限度地发挥网络安全态势感知技术体系的能力。同时,SOAR 还能够在工业互联网安全、5G 安全领域发挥更大价值。
雾帜智能联合创始人兼 CTO 傅奎: 在企业安全运营中,时间是最大的敌人,安全运营人员需要与攻击者赛跑抢时间。当前,企业安全运营面临高成本、低效率的人工响应困境:安全人员淹没在海量告警中,操作靠手、沟通靠吼,新手不会、老手不够、处置缓慢……企业需要自动化、智能化的网络武器作战平台来解决这一难题。“AI+SOAR” 将人工智能技术精准落地到安全场景,可以充分发挥 “人类工程师的智慧 + 机器的智能与速度”,通过显著提升自动化水平助力企业解放生产力。
神州泰岳安全咨询总监程建: 目前,企业组织既面临平台较为完备但使用困难、协同能力差为突出特点的矛盾;又需要应对持续升级加码的威胁、持续变化的业务需求、持续提升的人员要求、持续的完善监管需求等挑战。因此,企业安全运营工作需要常态化、流程化、实战化以及体系化的解决思路,以 “实战化,体系化,常态化” 为新理念,以 “动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控” 为新举措,来应对当前企业网络安全运营面临的威胁与挑战。
奇安信 SOAR 产品行销曾辉: 当前真正重视安全运营工作的客户面临五大痛点:一是,在人员组织方面,存在人员不足、技能有限、工作太多、忙不过来等问题;二是,在告警处置方面,存在大量告警,处理不过来,产生 “告警疲劳” 等问题;三是在响应速度方面,存在响应时间太长、手工操作太多、难以及时止损等问题;四是,在知识沉淀方面,存在运行知识难以传承,无法积累的问题;五是,在整合协作方面,存在运行工具碎片化,人、工具、流程三者之间缺乏协同的问题。 奇安信认为,SOAR 是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起,有序处理多源数据,持续进行安全告警分诊与调查、案例处置、协同作战、事件响应,并最终实现高效、有效安全运营的智能协作系统。
天融信产品总监惠红刚: 从实战角度看,SOAR 有三个核心思想:一是安全分析处置经验总结固化重用;二是安全分析处置操作尽可能自动化;三是 SIEM、安管、态势感知等产品的能力延伸。 SOAR 建设不是一蹴而就的,按照经验其合理的推进过程为: 首先,建立 SIEM、安管、态势感知等平台,汇聚安全数据,建立专业安全运营团队,实现安全数据集中化研判分析;其次,建立 SOAR 平台,将安全运营团队中最常开展的研判分析任务固化为剧本,开展自动化辅助研判;最后,完善 SOAR 剧本库,根据大部分安全运营团队工作,梳理可固化的剧本,接入所需联动对象,提升完善 SOAR 剧本库,最大化地开展自动化运营。