【引言】本文最初发表于数世咨询，现发布于本人的微信号，内容稍有修改。

• 埃森哲：领先企业和组织将SOAR视为增强网络弹性的关键技术
  

• Gartner对SOAR的定义不断变化

1     SOAR的内涵

随着网络空间安全对抗的持续升级，当前企业和组织的安全运营工作在人员组织、告警处置、快速响应、知识沉淀、整合协作诸多方面面临的挑战越来越突出。为了应对挑战，顺应安全运营未来发展的新趋势，SOAR（安全编排自动化与响应，Security Orchestration,Automation and Response）应运而生。

Gartner最新将SOAR定义为一种从各种来源获取输入，并应用工作流来处理各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。

结合业界的定义，以及一年多来的深入实践，笔者认为，SOAR是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起的，有序处理多源数据，持续进行安全告警分诊与调查、威胁猎捕、案件处置、事件响应，并最终实现高效、有效安全运营的智能协作系统。

如果用一句话来概述SOAR，可以解读为：人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。

• 人员是根本：SOAR强调以人为本。安全运营工作本质上是由安全运营团队及其相关干系人的一系列安全运营活动构成的。SOAR的目的是为了使能安全团队，为他们赋能，而不是取代他们。我们常说网络安全的本质是对抗，而对抗最终都是人与人之间的攻防。

• 协作是使命：安全运营过程中面临各种人、流程和技术之间的碎片。安全运营要取得成效，必须让团队、流程和技术协同起来，必须注重团队协作。SOAR不是取代协作，而是强化协作。

•  流程是基础：要实现实战化、有效化的安全运营，涉及的内容很多。其中，对于SOAR而言，其核心目标就是为了加速安全流程的标准化、自动化、智能化。因此，要想发挥SOAR的核心作用，必先梳理出组织自身的标准安全操作流程和规程。

• 编排是核心：编排是SOAR的核心和最重要的能力。编排的过程就是将团队、流程、技术和工具等各种要素以流程为纲整合到一起以服务于安全运营的过程。看一款产品是不是SOAR产品，第一条就是看其是否具备安全运营流程的编排能力。

• 自动是手段：对SOAR而言，自动化能力，高低决定了安全编排所能发挥的价值大小。一方面，安全编排往往通过自动化的手段来执行，以提升编排的执行效率，通过减少人的参与来降低人为错误因素的影响。另一方面，自动化是手段，不是目标，不要唯自动化。

• 响应是场景：安全编排与自动化适用于安全运营防御、检测和响应的各个环节，并不限于响应。但由于现阶段人们对于响应工作的重视，以及响应环节在安全运营工作中相对薄弱，SOAR首要的应用场景是响应。

• 提效是目标：SOAR的目标是辅助安全运营人员的工作，以数字化可度量的方式提升他们的工作效率，从而提升安全运营的效能，增强安全弹性。

2     SOAR三种能力之间的关系

SOAR从一开始就被打包成多种相对独立的技术能力的集合体，是一套解决方案。Gartner认为SOAR当前主要是三种技术的集合：安全编排与自动化（SOA）、安全事件响应平台（SIRP）、威胁情报平台（TIP）。

随着SOAR的快速发展，Gartner认为，从欧美市场来看，构成SOAR解决方案的三个部分结合越发紧密，耦合度越来越高，SOAR作为独立细分市场的地位愈发凸显。尽管SIRP历史比SOAR更为悠久，但却从未进入Gartner的细分市场分析视野。此外，在最新的2020年安全运营炒作曲线中，干脆去掉了TIP（注意，TIP不是TI服务，是TI服务本地化的一种表现形式），而将其融入SOAR之中。

但笔者认为，SOA、SIRP和TIP依然还是三个相对独立的领域。与其将SOAR看作是这三者的合集，莫不如将SOAR看作是这三者的交集。事实上，SOA的应用场景远不止基于威胁情报的安全响应，响应只是SOA的一类应用场景。而TIP也依然有其独立存在的与SOAR不同的应用场景。

从中国市场来看，笔者认为，由于TIP发展与形成早于SOAR，因而在未来3年TIP依然主要是以松耦合、集成化的方式与SOAR打包成产品组合或者解决方案。独立的TIP依然存在，而独立的SOAR可以不包括TIP。

此外，SIRP在中国市场几乎没有存在过，而安全管理（SOC）平台产品在事件响应方面的能力过于薄弱，因此，SIRP的主要功能就要靠SOAR来体现了。

在SOAR的三个技术中，最核心的当属安全编排与自动化（SOA）。因为是SOA塑造出了全新的安全响应，将安全响应工作从“手动挡”升级到了“手自一体”。也是因为SOA，让威胁情报在客户侧有了更加落地的应用场景。如果说当前威胁情报在客户侧的落地主要是依靠SIEM，那么可以预见未来威胁情报与SOAR（或者安全响应）的结合将迅速崛起，成为另一个支柱。

可以说，借助安全编排与自动化，实现了安全运营工作的飞跃。

必须指出的是，编排与自动化是两个不同的概念，是两种紧密相关的技术。他们共同构成了SOAR的核心能力。更进一步，SOAR中的编排是指安全能力的编排化，而SOAR中的自动化则是指安全运营过程的自动化。

3     安全能力编排化

面对层出不穷的安全威胁，企业和组织部署了大量安全设备和系统，并且还在不断增加。安全运营人员每天都需要跟这些设备和系统，以及其它工具反复打交道，一个完整的安全运营流程往往涉及到多个设备和系统，需要在这些工具之间来回切换。尽管企业和组织可能已经部署了SIEM、SOC平台或者大数据安全分析平台，能够在一定程度上集中化地采集和分析安全数据，但在实际环境中，仅仅依靠这类平台也不足以做出分析结论，还需要依据安全流程调用其它工具，获取其它信息来辅助决策。同时，决策之后的处置环节更是需要联动网络中的各种安全防御机制。可以发现，以数据为中心的集成无法真正整合现有分散的安全工具和技术，无法对它们进行配置、控制和查询。因此，未来的安全运营还需要一个全新视角的技术集成。

如果将企业和组织的各种安全设备、系统，以及云端的安全服务和相关运营工具看作一个个安全功能，那么将企业和组织现有的安全功能转换成能力并通过编排集成到一起已经成为未来安全运营的重要趋势。借助安全编排技术，可以对安全运营流程进行形式化地描述，并映射到安全能力以及安全运营参与者上，促成人与人、人与工具、工具与工具之间的有机协作，同时也促成安全运营流程的知识转化。我们将这个通过编排集成安全能力的过程称作“安全能力编排化”。

这里的安全设施是指安全运营过程中用到的各种技术、机制、工具、系统和服务。安全设施接口化是指这些安全设施对外提供的API。安全设施接口化是SOAR得以落地的重大前提条件。当前，包括安全设施在内的所有应用、系统和服务都在向可编程化迈进。也就是说，现代安全设施不仅提供面向人的GUI（图形用户接口），也会提供面向机器的API（应用程序接口）。而安全能力编排化最终就是通过这些接口来调用各种能力。

安全接口应用化是指将原生的安全设施接口所代表的功能封装成应用的过程。

为了实现应用开发和运行的开放性和一致性，基本上都会基于一个应用集成框架来实现原生安全功能的应用化。这个应用集成框架应该具备开发态和运行态两种模式。在开发态，应用集成框架应提供完备的支持多语言的SDK，供开发人员进行应用开发。在运行态，能够导入应用，并将应用集成框架的运行时库与应用执行引擎绑定起来。

安全应用编排化的核心就是对安全应用中封装的安全能力进行编排的过程，其核心就是安全编排。

运营过程剧本化是一个自顶向下将安全运营过程和规程转换成剧本的过程，其核心产出物就是剧本。

显然，没有安全过程和规程，就没有剧本，安全编排也就将大打折扣。

为了便于编写剧本，并将应用便捷地编排到一起，可视化剧本编辑器必不可少。以盛华安CyberSky-SOAR为例，系统内置的可视化剧本编辑器允许剧本设计师方便地进行剧本创作。在编写剧本的时候，可以选择的元素包括应用动作、API、人工任务、审批、自定义变量、脚本、子剧本、条件分支，等等。管理员可以将这些元素通过鼠标拖拽的方式加入到编辑器中，构成一个图形化的剧本图。针对每个元素，管理员都可以进行详细的设置。

• 最高层剧本：是面向安全运营过程和规程的，也就是面向“安全业务”的，是对过程和规程的业务描述。此时，每个过程节点都是意图级别的；
• 中间层剧本：将业务描述剧本转义为编排引擎可以执行的应用描述后，就成为了中间层剧本，有的称之为执行剧本（Runbook），也有的（譬如IACD）称之为工作流（Workflow）。这时候，每个过程节点的意图都转义为具体的应用和动作；
• 最底层剧本：编排引擎在加载中间层剧本后，会变成一个个运行实例，实现了与目标应用系统的绑定。

4     安全过程自动化

5     结语