安全编排、自动化与响应(SOAR)将迎来大幅增长

安全初创公司Demisto赞助的研究发现，安全运营中心(SOC)疲于应付大量警报，安全编排、自动化与响应(SOAR)技术的需求和意识均迎来大幅增长。

最近几年新崛起的安全缩写词中就包括有SOAR，也就是安全编排、自动化与响应。SOAR技术旨在为企业解决多个安全痛点。9月6日发布的《SOAR态势报告2018》中，Demisto明确阐述了这一点。

Demisto调查了 250 位IT公司高层人员，发现解决安全事件的平均时长从2.8天增加到了 4.35 天 。不过，另一方面，培训新进安全分析师的时间从2017年的9个月，缩短到了2018年的8个月。

SOC面临的一大挑战就是人手不足 ， 79% 的受访者表示没有足够的人手处理自家SOC的庞大工作量。安全团队疲于应付每周17.4万之巨的安全警报，安全分析师每周能审查并响应的安全警报最多1.2万个。

面对如此严峻的人力资源挑战，70%的受访者表示可以借助SOAR和更为自动化的安全方法来处理安全事件也就不足为奇了。

定义SOAR

虽然SOAR是个相对较新的术语，也是安全行业中新出现的一种模型，Demisto的调查并未问询受访者有没有听说过SOAR，而是在调查伊始就定义了SOAR。

在报告中，Demisto解释称，事件响应主要关注解决已经发现的问题。但是，事件的生命周期涉及多个阶段，包括聚合、丰富、关联和调查。SOAR与事件响应不同，安全事件缓解及响应中涉及的所有不同阶段都在SOAR的涵盖范围内。

SOAR的编排组件能将不同数据集和安全技术整合到一起。自动化组件则旨在最小化事件响应过程中重复性任务的人工干预，帮助加速问题的解决。响应是SOAR的核心功能，以自动化的方式综合运用经编排的不同技术中的元素，驱动事件妥善解决。

SOAR采纳的障碍

虽然SOAR能为公司企业解决安全人力资源上的各种压力，但这依然是个新生领域，公司企业能为SOAR分出来的预算并不太多。

调查结果显示，SOAR领域尚未成熟到可以要求有自己的预算线。不过，情况改观的势头很好，约38%的受访者称，尽管SOAR工具没有单独的预算，但已经在整体安全预算中占据了一席之地。

另有15%的受访者计划在明年将SOAR工具纳入预算。展望未来，随着市场持续发展，SOAR的定位也会越来越明确。