SOAR还面临着一条很难跨越的鸿沟

如果问当前安全圈儿热点的话，SOAR无疑算是炙手可热的一个。相比当年威胁情报、态势感知的火爆，一点也毫不逊色。

SOAR相关的创新产品、科普知识和媒体宣传铺天盖地，但传达出来都是“积极”、“乐观”的高大上信息，似乎从来没有关于应用SOAR面临的困难与困惑的内容。

这说明SOAR目前只是在试水阶段，而缺乏真正的实践效果。

客观上来讲，安全运营需要向前继续发展，就要有相应的技术创新来进行牵引，向前发展之后应该出现SOAR。而现在是把安全运营向前发展寄托在SOAR上，希望通过SOAR启到牵引作用。

简单来讲就是，SOAR应该是安全运营发展的结果，而不是目标。

基于这个观点，今天随意漫谈一下个人看法，有可能对，也可能不对，请各位看官姑妄听之。不针对任何产品与事件，只是记录一下所思所得，以便过几年再回来，看看自己的理解是否准确。

一、SOAR如何定位？

SOAR最初（2015年）被Gartner定义为安全运营、分析与报告（Security Operations、Analytics、Reporting）。

2017年Gartner对SOAR进行重新定义，变成了现在广为人知的安全编排、自动化与响应（Security Orchestration, Automation and Response）。

按照Gartner的说法，SOAR应该是由安全编排和自动化（SOA），安全事件响应（SIR）和威胁情报平台（TIP）整合而来。

对比来看，对于安全运营最为关键的安全分析（Analytics）没有单独体现，我猜可能是Gartner认为安全分析（Analytics）应该是SIEM应该做的事情，或者是将安全分析（Analytics）包含在了安全事件响应（SIR）中了。

从SOAR整合要素中含有威胁情报平台（TIP）来看，将安全分析（Analytics）默认包含在了安全事件响应（SIR）中，这种可能性似乎更大一些。

二、这条鸿沟是什么？

安全事件响应（SIR）接受SIEM数据、威胁情报（TIP）数据及其它上下文信息，综合分析判定安全事件（Incident）的影响程度及可能性，并决策是否需要进行处置。

而安全编排和自动化（SOA）只是接收安全事件响应（SIR）的命令，按既定的剧本与安全设备或系统联动，进行自动化的处置。

由此可见，SOAR的核心及难点是安全事件响应（SIR），而不是一直被捧吹的安全编排和自动化（SOA）。

可以说安全事件响应（SIR）是智囊，运筹帷幄帐中、决胜千里之外；安全编排和自动化（SOA）则是作战机要办公室，按既有命令制定并传达作战计划。

那为什么SOAR产品大部分都不太提分析与决策，重点强调编排与自动化响应呢？

因为安全分析与决策，像一道难以跨越的鸿沟，SIEM产品难以解决，SOAR产品也不愿面对。

三、为什么难以跨越？

抛开产品技术不谈，让我们回到安全分析与决策的实质，面对海量的安全数据，只有分析提炼出有价值的情报来辅助决策，进而才能进行正确的处置。

从风险管理的角度来说，作为海量安全数据的事件（Event）只代表一种客观的状态，初步分析提炼可以加工成需要关注的告警（Alert）。与事件（Event）相比，告警（Alert）数量从亿万条减少了千百条，同时告警（Alert）具有了严重程度（比如高中低）。

单条告警（Alert）程度并不能作为处置的决策，以时间前后进行排序也无法体现处置的优先级。

告警（Alert）还需要进一步加工聚合，形成体现优先级的风险事件（Incident）。理论上来讲，风险事件（Incident）需要从数量、准确性以及上下文信息丰富性，都应该比告警（Alert）有明显的改善才可以，起码要达到人为（甚至是机器）可以逐条判定与决策的程度。

达到了安全事件（Incident）的良好效果，通过研判决策剔除结果通知类事件（如成功拦截事件），剩下的安全事件（Incident）就是需要进行处置的，也就是安全事故（Accident）。

这条鸿沟为什么难以跨越非常明显，就是如何聚合以风险为视角的安全事件（Incident），并且判定这些安全事件（Incident）需要如何处置。

四、现状及总结

那么，目前业界能做到什么程度呢？普遍的情况是可以分析到告警（Alert）层面，但由于各种原因所致，告警（Alert）的准确率可以达到百分之六十以上，还可能有牺牲检测率的嫌疑。

而安全事件（Incident）的聚合呢，基本上就没有什么太好的效果，更别说自动化的进行安全判定与决策了。

虽然面临着难以跨越的鸿沟，也不是说SOAR就不再需要了，难以跨越并不是不能解决，再说除了安全分析这条线，还有安全事件处置知识库、剧本，以及安全生态、设备联动等方向，还是有很大的发展空间。