SOAR技术在安全运营方面是否还有未来？

❤谢谢你，这么好看。请点击上方 ⬆⬆⬆ 关注君说安全！❤

免责声明：本文素材（包括内容、图片）均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。

“本文将围绕SOAR的整合与独立机会、安全自动化技术展开深入分析，并探讨甲方对SOAR技术在安全运营场景中的真实需求。”

据锐安全发布了的《Gartner炒作周期全景图》，Gartne对SOAR技术标记成过时的网络安全技术。安全老人都知道，安全编排、自动化与响应（SOAR）技术曾经风靡一时，国内经常很多涉及到安全运营的项目，至今仍然都能看到关于SOAR技术的相关控标参数。

根据锐安全的一项调查数据线上，50.83%的受访者认为SOAR将被整合到其他技术平台中，独立SOAR的机会不大；29.17%的人则认为SOAR不过是概念炒作，关键在于如何有效运用安全自动化技术。更有声音指出，安全编排本身对大多数甲方而言是个伪命题。

01    SOAR的整合可能性与独立机会不大的原因

首先，我们来分析SOAR被整合的可能性。

SOAR的核心价值在于其能够将安全事件的处理流程自动化，通过编排各类安全工具，实现快速响应和高效管理，经常用在中、大型的网络安全运营场景。

目前国内经常在银行、运营商、电网等行业看到SOAR技术的相关采购需求，以确保安全运营的高效自动化和流程化，从而节约网络安全投入成本。

然而，这一技术在实际应用中却面临诸多挑战。一个显著的问题是，SOAR的部署和运维需要较高的技术水平，这对于许多企业来说是一大障碍。这其中的核心关键还是人，缺乏专业的人，既要懂运维，又要懂安全，还要懂技术，放眼全国也没几个。

因此，将SOAR整合到已有的SIEM（安全信息和事件管理）或SOC（安全运营中心）平台中，能够借助这些平台的既有资源和技术基础，提升策略自动化部署流程，降低安全策略部署难度，提高整体的安全运营效率。

此外，从市场趋势来看，技术的整合是信息安全领域的一个明显方向。但是任何事情都需要磨合和适应。SOAR技术在安全运营的整合其实成效并不是十分明显，因此逐渐淡出网络安全专家的视角。

另外，随着云计算、大数据等技术的普及，企业更倾向于采用一体化的解决方案，以便更好地进行数据整合和分析。因此，SOAR技术的发展出现了停滞，由于其效果并不十分明显，并且需要大量的人工验证工作，因此逐步被遗忘。

SOAR作为安全自动化的一环，其独立存在的价值虽然在一定程度上被削弱，但其整合到其他平台中，仍然能够更好地发挥其作用。比如在运营商网络中，SOAR安全编排仍是很多SOC中心的非常重要的功能之一。

独立SOAR机会不大的另一个原因是市场上已经存在众多成熟的SIEM和SOC解决方案，这些解决方案在功能和用户体验上经过长时间的打磨，具有较高的市场认可度。

相比之下，SOAR作为新兴技术，其市场接受度和成熟度还有待提高。因此，从市场竞争的角度来看，SOAR更有可能作为补充和增强现有平台功能的技术，而非独立存在。

02    安全编排对甲方的负面影响及局限性

尽管SOAR技术在理论上具有诸多优势，但在实际应用中，安全编排对甲方来说往往是一个伪命题。

据相关调查显示，99%的甲方都没有真正的编排能力，这主要是因为安全编排需要深厚的专业知识和复杂的技术操作。

安全运营工作本是一个非常复杂的过程，一个中大型的安全运营中心，安全相关资产都是过百上千，单纯靠SOAR技术，没有运维人员跟进，很难实现自动化安全剧本的作业流程。

剩下的1%所谓的编排，也大多是在通用剧本的基础上进行一些简单的调整，如修改阈值、改变执行顺序等。这些也都需要专业的安全人才参与、验证和纠偏才能执行。

因此，这种程度的编排并不能充分发挥SOAR的潜力，也无法应对复杂多变的安全威胁。客户的诉求往往比较简单，快速，高效，但对安全的投入又十分有限，这使得SOAR的实际应用效果打折，并且是打骨折。

通用剧本的局限性在于，它们往往只能处理一些常见的、已知的安全事件，而对于新型攻击、APT攻击和未知威胁则显得力不从心。SOAR目前高端一些的厂商可以支持范式化配置，低端的一些厂商只能是固化安全场景和流程，一旦场景变化，便失去的相关效果。

因此，很多厂商针对特定场景的安全吹嘘，还是忽悠了不少甲方。对客户来说，一旦采购就是噩梦的开始，因此场景不适用，安全无效果。此外，通用剧本的灵活性和可扩展性较差，难以满足甲方爸爸的个性化的安全需求。

在这种情况下，甲方更需要的是一种能够快速响应、灵活调整、并且易于使用的安全自动化解决方案，SOAR远不能满足。

03    甲方需要的是开箱即用的傻瓜自动化产品

基于上述分析，我们可以得出一个结论：甲方真正需要的是能够开箱即用的傻瓜自动化产品。这类产品应该具备以下几个特点：

1. 易用性：产品应该具有直观的用户界面和简洁的操作流程，使得即使是非专业用户也能快速上手。

2. 高效性：产品应该能够快速响应安全事件，减少人工干预，提高处理效率。

3. 灵活性：产品应该支持自定义和扩展，以便企业能够根据自身需求进行调整。

4. 集成性：产品应该能够与其他安全工具和系统无缝集成，实现数据的共享和流程的协同。

通过采用这样的傻瓜自动化产品，甲方能够最大化地降本增效。一方面，自动化处理能够减少人工参与，降低运营成本；另一方面，高效的响应和处理能力能够减少安全事件对企业的影响，保护企业的资产和数据安全。

综上所述，SOAR技术的未来更有可能是在整合到其他安全平台中发挥作用，而非作为独立的技术存在。安全编排对大多数甲方来说仍然是一个难以实现的理想，而开箱即用的傻瓜自动化产品则更符合甲方的实际需求。

在未来的信息安全领域，技术的整合和易用性将成为关键的发展趋势，企业应该在选择安全解决方案时充分考虑这些因素，以实现更高效、更经济的安全运营。

【特别说明】本文依据锐安全文章《SOAR虽然活着，但它已经死了！》引发笔者感想而写。更多详细信息，请访问锐安全公众号。

-End-
 ★关注，在看，转发，设为星标★，与你一起分享网络安全职场故事。

原文始发于微信公众号（君说安全）：SOAR技术在安全运营方面是否还有未来？