安全初创公司Demisto赞助的研究发现,安全运营中心(SOC)疲于应付大量警报,安全编排、自动化与响应(SOAR)技术的需求和意识均迎来大幅增长。
最近几年新崛起的安全缩写词中就包括有SOAR,也就是安全编排、自动化与响应。SOAR技术旨在为企业解决多个安全痛点。9月6日发布的《SOAR态势报告2018》中,Demisto明确阐述了这一点。
Demisto调查了250位IT公司高层人员,发现解决安全事件的平均时长从2.8天增加到了4.35天。不过,另一方面,培训新进安全分析师的时间从2017年的9个月,缩短到了2018年的8个月。
SOC面临的一大挑战就是人手不足,79%的受访者表示没有足够的人手处理自家SOC的庞大工作量。安全团队疲于应付每周17.4万之巨的安全警报,安全分析师每周能审查并响应的安全警报最多1.2万个。
面对如此严峻的人力资源挑战,70%的受访者表示可以借助SOAR和更为自动化的安全方法来处理安全事件也就不足为奇了。
不幸中的万幸是,安全人员已经感受到了手头的挑战,并开始意识到SOAR工具在此态势下能提供的好处。自动化的采纳已准备就绪,SOAR功能与用户认识到的收益之间也协调一致。
定义SOAR
虽然SOAR是个相对较新的术语,也是安全行业中新出现的一种模型,Demisto的调查并未问询受访者有没有听说过SOAR,而是在调查伊始就定义了SOAR。
在与客户的日常互动中,我们发现他们特别关注该概念。虽然是如此年轻的领域,客户对它的认知却一点都不少,从市场需求上都能看出来。
在报告中,Demisto解释称,事件响应主要关注解决已经发现的问题。但是,事件的生命周期涉及多个阶段,包括聚合、丰富、关联和调查。SOAR与事件响应不同,安全事件缓解及响应中涉及的所有不同阶段都在SOAR的涵盖范围内。
SOAR的编排组件能将不同数据集和安全技术整合到一起。自动化组件则旨在最小化事件响应过程中重复性任务的人工干预,帮助加速问题的解决。响应是SOAR的核心功能,以自动化的方式综合运用经编排的不同技术中的元素,驱动事件妥善解决。
SOAR采纳的障碍
虽然SOAR能为公司企业解决安全人力资源上的各种压力,但这依然是个新生领域,公司企业能为SOAR分出来的预算并不太多。
调查结果显示,SOAR领域尚未成熟到可以要求有自己的预算线。不过,情况改观的势头很好,约38%的受访者称,尽管SOAR工具没有单独的预算,但已经在整体安全预算中占据了一席之地。
另有15%的受访者计划在明年将SOAR工具纳入预算。展望未来,随着市场持续发展,SOAR的定位也会越来越明确。
未知的东西很多,比如SOAR中威胁情报的角色。但客户和公司企业会对SOAR有个清晰的认知。
相关阅读
