當(dāng)前，企業(yè)組織面臨越來越多的網(wǎng)絡(luò)安全威脅，在資源和專業(yè)人才有限的情況下，借助新一代安全技術(shù)實(shí)現(xiàn)企業(yè)安全運(yùn)營工作自動化成為企業(yè)的必然選擇。SOAR（安全編排自動化與響應(yīng)）技術(shù)因其在安全自動化響應(yīng)方面獨(dú)具優(yōu)勢，能夠幫助企業(yè)解決安全事件響應(yīng)過程中人員短缺、改進(jìn)警報(bào)分類質(zhì)量和速度等問題，受到更多企業(yè)用戶的關(guān)注。

為了讓國內(nèi)企業(yè)用戶更好地了解企業(yè)安全運(yùn)營自動化能力構(gòu)建方法，幫助企業(yè)更好地部署應(yīng)用以 SOAR 為代表的安全運(yùn)營自動化產(chǎn)品，安全牛實(shí)際調(diào)研多家已經(jīng)建設(shè)應(yīng)用 SOAR 方案的甲方用戶，同時(shí)基于《第八版中國網(wǎng)絡(luò)安全行業(yè)全景圖》收錄結(jié)果，從產(chǎn)品創(chuàng)新性、可用性以及市場表現(xiàn)等維度，特別挑選出天融信、奇安信、神州泰岳、霧幟智能、安恒信息、亞信安全、山石網(wǎng)科、日志易（排名不分先后，以調(diào)研時(shí)間排序）等八家國產(chǎn) SOAR 產(chǎn)品代表性廠商，分析研究其最新 SOAR 解決方案（產(chǎn)品），以及其近年來成功實(shí)施的典型 SOAR 應(yīng)用案例，聯(lián)合撰寫發(fā)布《企業(yè)安全運(yùn)營自動化（SOAR）應(yīng)用指南》報(bào)告（以下簡稱 “報(bào)告”）。

2022年1月26日，報(bào)告正式線上發(fā)布，八位 SOAR 領(lǐng)域一線技術(shù)專家與安全牛分析師一起，就 SOAR 技術(shù)的發(fā)展現(xiàn)狀、主要挑戰(zhàn)、應(yīng)用前景及未來發(fā)展趨勢等展開研討，超 3000 人次行業(yè)嘉賓在線觀看了本次報(bào)告發(fā)布。

報(bào)告關(guān)鍵發(fā)現(xiàn) 

·隨著 SOAR 技術(shù)的不斷成熟，其在我國企業(yè)用戶的應(yīng)用條件已經(jīng)基本具備，相關(guān)產(chǎn)品已從觀望期演進(jìn)為應(yīng)用推廣期， 國產(chǎn) SOAR 方案的實(shí)際應(yīng)用案例開始大量出現(xiàn)。

調(diào)研發(fā)現(xiàn)，國產(chǎn) SOAR 產(chǎn)品已經(jīng)逐漸成熟完善，國內(nèi)大型用戶對 SOAR 的認(rèn)知度和接受度也明顯提升，從 2020 年下半年開始出現(xiàn)，SOAR 方案的實(shí)際應(yīng)用案例大量出現(xiàn)。預(yù)計(jì)未來三年，SOAR 產(chǎn)品市場將快速發(fā)展。

·企業(yè)在安全編排與自動化響應(yīng)方面需求快速增長。

本次報(bào)告，對 11 家已經(jīng)建設(shè)應(yīng)用了 SOAR 產(chǎn)品的企業(yè)用戶進(jìn)行了調(diào)研訪談，覆蓋銀行、保險(xiǎn)、汽車、電子等行業(yè)，涉及產(chǎn)品購買原因、選型因素、運(yùn)營感受以及使用效果等維度。調(diào)研發(fā)現(xiàn)，現(xiàn)階段企業(yè)在安全運(yùn)維方面大都存在周期性重復(fù)勞動多、海量安全報(bào)警、響應(yīng)不及時(shí)、安全人員不足等挑戰(zhàn)，企業(yè)對自動化安全運(yùn)營及響應(yīng)技術(shù)的應(yīng)用需求普遍存在。

·SOAR 的技術(shù)路線相對清晰，落地的主要難點(diǎn)在于是否能夠滿足用戶的復(fù)雜多變場景。

現(xiàn)階段，國內(nèi)安全廠商對 SOAR 的概念及技術(shù)體系比較明確，落地的難點(diǎn)在于是否能夠真正根據(jù)用戶場景實(shí)現(xiàn)安全編排及自動化響應(yīng)，不管利用的是自己技術(shù)積累或研發(fā)實(shí)力，還是借助其他家的產(chǎn)品。

·應(yīng)用 SOAR 解決方案對企業(yè)自身安全運(yùn)營能力有較高要求，目前還處于落地應(yīng)用的早期階段。

調(diào)研發(fā)現(xiàn)，現(xiàn)階段使用 SOAR 產(chǎn)品的用戶均為規(guī)模較大的企業(yè)，這些企業(yè)自身具有安全運(yùn)營團(tuán)隊(duì)或采購第三方安全服務(wù)，安全運(yùn)營能力較強(qiáng)。這樣的用戶較早使用 SOAR，與其自身特點(diǎn)和需求分不開。首先其安全運(yùn)營流程清晰、規(guī)范，為流程編排奠定基礎(chǔ)；其次人力成本過高推動了自動化運(yùn)營的需求。

·現(xiàn)有 SOAR 方案均需要不同程度的人工介入，自動化能力將成為未來考量 SOAR 方案可用性的重要指標(biāo)。

多家安全廠商表明，未來會提高在 SOAR 中對人工智能技術(shù)的應(yīng)用，有些是以智能機(jī)器人的方式為響應(yīng)提供輔助決策，有些是將智能技術(shù)融入到底層能力進(jìn)行模型構(gòu)建、數(shù)據(jù)分析。未來，人工智能和人類智慧會逐漸在 SOAR 中結(jié)合得更加緊密。

專家觀點(diǎn)

日志易安全產(chǎn)品總監(jiān)施澤寰： 很多情況下，SOAR 是與 SIEM 一起結(jié)合使用，為用戶提供從檢測、分析到響應(yīng)的整體解決方案。如果告警精準(zhǔn)度較低或者誤報(bào)率較高，而且數(shù)量比較多的話，就影響 SOAR 的發(fā)揮。所以我們建議 SOAR 與 SIEM 結(jié)合使用。除此之外，日志易認(rèn)為 SOAR 解決方案的三大主要功能包括組件能力、劇本編排能力及任務(wù)管理能力。在實(shí)際落地過程中，SOAR 可用于 IP 自動化封禁和異常 DNS 請求自動化分析等場景。

山石網(wǎng)科安全運(yùn)營業(yè)務(wù)群資深產(chǎn)品經(jīng)理朱凱： SOAR 的本質(zhì)是通過安全編排、自動化與響應(yīng)技術(shù)將安全運(yùn)營相關(guān)的人、技術(shù)和流程進(jìn)行整合，有序處理多源異構(gòu)數(shù)據(jù)，持續(xù)進(jìn)行安全告警分診與調(diào)查、攻擊分析、威脅處置、事件響應(yīng)，衡量并改善安全運(yùn)營效率、簡化安全運(yùn)營管理、為安全團(tuán)隊(duì)賦能。其短期目標(biāo)是實(shí)現(xiàn)手動任務(wù)和重復(fù)性任務(wù)的自動化，縮短威脅的補(bǔ)救時(shí)間，長期目標(biāo)是從綜合安全運(yùn)營視角找到可以量化、標(biāo)準(zhǔn)化的抓手去提升安全運(yùn)營成熟度。

亞信安全安全管理產(chǎn)品中心解決方案總監(jiān)郭濤： SOAR 應(yīng)包含威脅情報(bào)分析、安全編排自動化、安全事件響應(yīng)三個主要功能，其中安全編排與自動化是 SOAR 的核心，通過編排的劇本完成從情報(bào)分析到事件響應(yīng)的安全流程處理過程。使相關(guān)組織能夠收集來自不同來源的安全威脅數(shù)據(jù)和警報(bào)，通過人機(jī)結(jié)合執(zhí)行事件分析和分類，以幫助安全人員根據(jù)標(biāo)準(zhǔn)工作流定義，優(yōu)先化和驅(qū)動標(biāo)準(zhǔn)事件響應(yīng)活動。

安恒信息高級副總裁劉博： 目前，很多企業(yè)面臨一個困境是，建立了態(tài)勢感知系統(tǒng)，但是用不好。SOAR 技術(shù)的出現(xiàn)緩解了這一難題。從安恒多家客戶的實(shí)際應(yīng)用場景來看，SOAR 可以替代大概 80%-90% 的人力工作。我們預(yù)期，在未來的 3-5 年中，SOAR 是一項(xiàng)非常關(guān)鍵的技術(shù)，也能夠最大限度地發(fā)揮網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)體系的能力。同時(shí)，SOAR 還能夠在工業(yè)互聯(lián)網(wǎng)安全、5G 安全領(lǐng)域發(fā)揮更大價(jià)值。

霧幟智能聯(lián)合創(chuàng)始人兼 CTO 傅奎： 在企業(yè)安全運(yùn)營中，時(shí)間是最大的敵人，安全運(yùn)營人員需要與攻擊者賽跑搶時(shí)間。當(dāng)前，企業(yè)安全運(yùn)營面臨高成本、低效率的人工響應(yīng)困境：安全人員淹沒在海量告警中，操作靠手、溝通靠吼，新手不會、老手不夠、處置緩慢……企業(yè)需要自動化、智能化的網(wǎng)絡(luò)武器作戰(zhàn)平臺來解決這一難題。“AI+SOAR” 將人工智能技術(shù)精準(zhǔn)落地到安全場景，可以充分發(fā)揮 “人類工程師的智慧 + 機(jī)器的智能與速度”，通過顯著提升自動化水平助力企業(yè)解放生產(chǎn)力。

神州泰岳安全咨詢總監(jiān)程建： 目前，企業(yè)組織既面臨平臺較為完備但使用困難、協(xié)同能力差為突出特點(diǎn)的矛盾；又需要應(yīng)對持續(xù)升級加碼的威脅、持續(xù)變化的業(yè)務(wù)需求、持續(xù)提升的人員要求、持續(xù)的完善監(jiān)管需求等挑戰(zhàn)。因此，企業(yè)安全運(yùn)營工作需要常態(tài)化、流程化、實(shí)戰(zhàn)化以及體系化的解決思路，以 “實(shí)戰(zhàn)化，體系化，常態(tài)化” 為新理念，以 “動態(tài)防御，主動防御，縱深防御，精準(zhǔn)防護(hù)，整體防護(hù)，聯(lián)防聯(lián)控” 為新舉措，來應(yīng)對當(dāng)前企業(yè)網(wǎng)絡(luò)安全運(yùn)營面臨的威脅與挑戰(zhàn)。

奇安信 SOAR 產(chǎn)品行銷曾輝： 當(dāng)前真正重視安全運(yùn)營工作的客戶面臨五大痛點(diǎn)：一是，在人員組織方面，存在人員不足、技能有限、工作太多、忙不過來等問題；二是，在告警處置方面，存在大量告警，處理不過來，產(chǎn)生 “告警疲勞” 等問題；三是在響應(yīng)速度方面，存在響應(yīng)時(shí)間太長、手工操作太多、難以及時(shí)止損等問題；四是，在知識沉淀方面，存在運(yùn)行知識難以傳承，無法積累的問題；五是，在整合協(xié)作方面，存在運(yùn)行工具碎片化，人、工具、流程三者之間缺乏協(xié)同的問題。 奇安信認(rèn)為，SOAR 是一個將安全運(yùn)營相關(guān)的團(tuán)隊(duì)、工具和流程通過編排和自動化技術(shù)整合在一起，有序處理多源數(shù)據(jù)，持續(xù)進(jìn)行安全告警分診與調(diào)查、案例處置、協(xié)同作戰(zhàn)、事件響應(yīng)，并最終實(shí)現(xiàn)高效、有效安全運(yùn)營的智能協(xié)作系統(tǒng)。

天融信產(chǎn)品總監(jiān)惠紅剛： 從實(shí)戰(zhàn)角度看，SOAR 有三個核心思想：一是安全分析處置經(jīng)驗(yàn)總結(jié)固化重用；二是安全分析處置操作盡可能自動化；三是 SIEM、安管、態(tài)勢感知等產(chǎn)品的能力延伸。 SOAR 建設(shè)不是一蹴而就的，按照經(jīng)驗(yàn)其合理的推進(jìn)過程為： 首先，建立 SIEM、安管、態(tài)勢感知等平臺，匯聚安全數(shù)據(jù)，建立專業(yè)安全運(yùn)營團(tuán)隊(duì)，實(shí)現(xiàn)安全數(shù)據(jù)集中化研判分析；其次，建立 SOAR 平臺，將安全運(yùn)營團(tuán)隊(duì)中最常開展的研判分析任務(wù)固化為劇本，開展自動化輔助研判；最后，完善 SOAR 劇本庫，根據(jù)大部分安全運(yùn)營團(tuán)隊(duì)工作，梳理可固化的劇本，接入所需聯(lián)動對象，提升完善 SOAR 劇本庫，最大化地開展自動化運(yùn)營。