安全編排、自動化與響應(SOAR)將迎來大幅增長
安全初創公司Demisto贊助的研究發現,安全運營中心(SOC)疲於應付大量警報,安全編排、自動化與響應(SOAR)技術的需求和意識均迎來大幅增長。
最近幾年新崛起的安全縮寫詞中就包括有SOAR,也就是安全編排、自動化與響應。SOAR技術旨在為企業解決多個安全痛點。9月6日釋出的《SOAR態勢報告2018》中,Demisto明確闡述了這一點。
Demisto調查了 250 位IT公司高層人員,發現解決安全事件的平均時長從2.8天增加到了 4.35 天。不過,另一方面,培訓新進安全分析師的時間從2017年的9個月,縮短到了2018年的8個月。
SOC面臨的一大挑戰就是人手不足, 79% 的受訪者表示沒有足夠的人手處理自家SOC的龐大工作量。安全團隊疲於應付每週17.4萬之巨的安全警報,安全分析師每週能審查並響應的安全警報最多1.2萬個。
面對如此嚴峻的人力資源挑戰,70%的受訪者表示可以藉助SOAR和更為自動化的安全方法來處理安全事件也就不足為奇了。
不幸中的萬幸是,安全人員已經感受到了手頭的挑戰,並開始意識到SOAR工具在此態勢下能提供的好處。自動化的採納已準備就緒,SOAR功能與使用者認識到的收益之間也協調一致。
定義SOAR
雖然SOAR是個相對較新的術語,也是安全行業中新出現的一種模型,Demisto的調查並未問詢受訪者有沒有聽說過SOAR,而是在調查伊始就定義了SOAR。
在與客戶的日常互動中,我們發現他們特別關注該概念。雖然是如此年輕的領域,客戶對它的認知卻一點都不少,從市場需求上都能看出來。
在報告中,Demisto解釋稱,事件響應主要關注解決已經發現的問題。但是,事件的生命週期涉及多個階段,包括聚合、豐富、關聯和調查。SOAR與事件響應不同,安全事件緩解及響應中涉及的所有不同階段都在SOAR的涵蓋範圍內。
SOAR的編排元件能將不同資料集和安全技術整合到一起。自動化元件則旨在最小化事件響應過程中重複性任務的人工干預,幫助加速問題的解決。響應是SOAR的核心功能,以自動化的方式綜合運用經編排的不同技術中的元素,驅動事件妥善解決。
SOAR採納的障礙
雖然SOAR能為公司企業解決安全人力資源上的各種壓力,但這依然是個新生領域,公司企業能為SOAR分出來的預算並不太多。
調查結果顯示,SOAR領域尚未成熟到可以要求有自己的預算線。不過,情況改觀的勢頭很好,約38%的受訪者稱,儘管SOAR工具沒有單獨的預算,但已經在整體安全預算中佔據了一席之地。
另有15%的受訪者計劃在明年將SOAR工具納入預算。展望未來,隨著市場持續發展,SOAR的定位也會越來越明確。
未知的東西很多,比如SOAR中威脅情報的角色。但客戶和公司企業會對SOAR有個清晰的認知。
相關閱讀
ofollow,noindex">從無到有打造SOAR