Black Hat 2018 | 短短三年，SOAR从概念到落地

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

今年2月，国际知名的大数据公司Splunk公司正式对外公布了收购Phantom公司的最终协议。Phantom是安全编排、自动化和响应（Security Orchestration,Automation and Response, SOAR）领域的领导者。根据协议条款，Splunk将以 3.5亿美元的总购买价格收购Phantom，具体金额将可能进行调整，以现金和股票的方式支付。

在备受瞩目的BlackHat大会上，Splunk自然不会放过这一热点事件，高调的将两家公司的并购重组称之为“分析驱动安全的新纪元”（New Age of Analytics-Driven Security）。

用“新纪元”来形容这两家科技巨头的合并并不为过。Phantom软件与Splunk平台的整合将创建一个全面的系统，让安全运维团队可以利用分析驱动的安全性来加速对安全事件的响应，推进网络防御并降低组织风险。这将有助于更好的管理安全运营中心，减少所需人员数量。

除了Splunk+Phantom的高调亮相，其他厂商也纷纷推出自己的SOAR产品或服务：

2015年 ，Gartner 首次在《安全运营，分析和报告创新技术洞察》（InnovationTech Insight for Security Operations, Analytics and Reporting）中提出 SOAR 概念，此时的 SOAR 定义为“安全运营（Security operations），分析（analytics）和报告（reporting）”，这类工具利用机读和有状态的安全数据提供报表、分析和管理功能来支持安全运营工作。而近两年国外安全编排和自动化、安全事件响应平台以及威胁情报平台三类技术融合，演进出新的SOAR，既安全编排（Security Orchestration），自动化（Automation）和响应（Response）。

目前SOAR最主要的应用场景在事件检测和分发、事件响应以及威胁情报管理，这其中最至关重要的是威胁情报市场的日渐成熟，威胁情报不仅仅局限于提供IOC给安全设备的安全防御和检测场景，还有基于攻击组织属性、能力以及意图等运营级情报用于安全分析、取证和事件响应的场景，以及更高层面关心趋势、攻击者动机和分类的战略情报，支撑企业高层做风险评估决策。这个领域的领导厂商甚至可以提供安全咨询类服务，帮助企业构建自身的安全情报能力。

SOAR平台通过自动执行任务、编排工作流程、改进协作以及赋能机构以机器速度响应事件来提高安全操作的效率。根据Gartner的预测，“到2020年年底，拥有5人以上安全团队的机构中将有15%利用SOAR工具进行编排和自动化操作，目前这一比例不到1%”，“到2022年，40%的大型企业将结合大数据和机器学习功能来支持并部分取代监控、服务台、自动化流程和任务，目前这一比例仅为5%。”

SOAR的未来趋势，也给国内安全厂商带来重要启示。作为国内知名的网络安全品牌，近年来，安恒信息产品线不断拓宽和完善，目前已经拥有覆盖“事前检测，事中防护，事后大数据分析”全生命周期的完备产品线；此外，安恒信息专业的安全服务团队，拥有多项国内顶级安全服务资质，提供7*24小时的全方位安全服务，可以帮助客户快速实现“SOAR”从理念到安全实践的落地。