隨著企業(yè)組織面臨越來越多的威脅，為了能夠進行快速、持續(xù)地響應(yīng)，安全人員不得不與復(fù)雜操作流程以及匱乏的資源、技能和預(yù)算等做斗爭。青藤云安全坦言，很多企業(yè)由于安全和運維人員短缺，更希望能夠通過自動化方式而不是人工方式去執(zhí)行重復(fù)任務(wù)。以勒索軟件為例，為了有機會控制其在企業(yè)組織中橫向滲透的威脅，企業(yè)需要能在幾分鐘內(nèi)快速完成響應(yīng)。在這樣情況，企業(yè)組織只能通過將更多任務(wù)派發(fā)給機器以減少響應(yīng)時間。

但是當下，以SOC為代表安全監(jiān)控系統(tǒng)，不僅成本高昂，而且會產(chǎn)生大量誤報。如果安全人員以手工的方式處理大量警報分類，很容易導(dǎo)致忽略真實且有危害的事件。減少響應(yīng)時間(包括事件遏制和補救)是控制安全事件影響的最有效方法之一。雖然在各個行業(yè)威脅檢測的平均時間呈下降趨勢，但仍然需要很長時間。對于大多數(shù)企業(yè)來說，快速發(fā)現(xiàn)威脅并作出響應(yīng)和補救措施仍然面臨巨大挑戰(zhàn)。

在這樣的背景下，安全編排、自動化與響應(yīng)(SOAR)技術(shù)的需求迎來大幅增長。SOAR出現(xiàn)可以解決響應(yīng)過程中人員短缺、改進警報分類質(zhì)量和速度、減少響應(yīng)時間、降低安全人員工作壓力等問題。

1.SOAR進化發(fā)展

根據(jù)Gartner預(yù)測，到2022年，有30%大型企業(yè)組織（安全團隊超過5人）將在安全和運維的工作中使用SOAR，這一比例遠超當下5%。當下SOAR技術(shù)的早期擁護者是那些已經(jīng)擁有成熟安全運維中心，并且能夠理解SOAR帶來好處的那些成熟的安全組織。

2015年，可以定義為SOAR的1.0時代。Gartner將SOAR(當時被認為是“安全運維分析和報告”)描述成為安全運維團隊提供機器可讀的安全數(shù)據(jù)報告和分析管理功能的產(chǎn)品。2017年，SOAR進入2.0時代。Gartner提出了“安全編排、自動化及響應(yīng)”(SOAR)這個術(shù)語，用以描述脫胎于事件響應(yīng)、安全自動化、場景管理和其他安全工具的一系列新興平臺。Gartner觀察到三種以前截然不同的技術(shù)：安全編排和自動化(SOA)、安全事件響應(yīng)平臺(SIRPs)和威脅情報平臺(TIPs)，正在逐步融合到一起，如下圖所示。

不同時代SOAR類別

根據(jù)Gartner2019年最新定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報警信息，或通過與其它技術(shù)的集成和自動化協(xié)調(diào)，免備案主機，提供包括安全事件響應(yīng)和威脅情報等功能。SOAR技術(shù)市場最終目標是將安全編排和自動化(SOA)、安全事件響應(yīng)(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。

這種融合到2019年仍然持續(xù)進行中。例如，在Splunk收購Phantom之后，SOAR可能會嵌入到它的SIEM中，并用于IT操作場景。SOAR 技術(shù)仍然在快速演化，內(nèi)涵未來仍可能會變化，但其圍繞安全運維，聚焦安全響應(yīng)的目標不會改變。例如基礎(chǔ)設(shè)施監(jiān)視、應(yīng)用程序性能監(jiān)視和故障排除。

2.SOAR核心功能

雖然SOAR能夠為安全人員提供自動化工具來提高他們的工作效率，極大增強了威脅檢測和響應(yīng)等活動安全效果。但是SOAR工具也并非萬能“銀彈”，很多人都認為它將把警報功能與防火墻、入侵檢測和預(yù)防系統(tǒng)(IDPS)和端點保護平臺(EPPs)等預(yù)防性工具集連接起來。實則不然，SOAR技術(shù)的功能是使企業(yè)組織的安全團隊能夠收集監(jiān)控數(shù)據(jù)，例如警報，并能夠?qū)崿F(xiàn)部分自動化地進行事件分析和分類過程。這些功能目的是在幫助安全人員根據(jù)預(yù)定義的工作流，確定優(yōu)先級并推動標準化的事件響應(yīng)活動。就目前而言，SOAR 的三大核心技術(shù)能力分別是安全編排與自動化、安全事件響應(yīng)平臺、威脅情報平臺。

（1）安全編排與自動化（SOA）：這是SOAR的核心能力和基本能力

安全編排 (Orchestration) 是指將客戶不同的系統(tǒng)或者一個系統(tǒng)內(nèi)部不同組件的安全能力通過可編程接口 (API) 和人工檢查點，按照一定的邏輯關(guān)系組合到一起，用以完成某個特定安全操作的過程。

SOAR中的關(guān)鍵詞是編排，這是在使用自動化和響應(yīng)之前必須構(gòu)建的關(guān)鍵組件。編排，就像音樂指揮家編排樂隊來傳遞音樂一樣。未來所有安全設(shè)備都會被打散成API和數(shù)據(jù)，根據(jù)數(shù)據(jù)建立指標，API則對這些數(shù)據(jù)進行操控編排。從現(xiàn)在市場可以看到是，以青藤云安全為代表新一代安全廠商，都采用了核心平臺引擎化的技術(shù)。所謂的引擎化就是可以迅速把安全想法變成現(xiàn)實可用的功能，而要支撐這個能力技術(shù)就是Full API和安全編排能力。而實現(xiàn)安全平臺引擎化包括三個核心要素：靈活的數(shù)據(jù)生成能力、機器學(xué)習能力、模型快速驗證能力。