網絡安全前沿資訊、 應急響應解決方案、技術熱點深度解讀

?

今年2月，國際知名的大數據公司Splunk公司正式對外公布了收購Phantom公司的最終協議。Phantom是安全編排、自動化和響應（Security Orchestration,Automation and Response, SOAR）領域的領導者。根據協議條款，Splunk將以 3.5億美元的總購買價格收購Phantom，具體金額將可能進行調整，以現金和股票的方式支付。

在備受矚目的BlackHat大會上，Splunk自然不會放過這一熱點事件，高調的將兩家公司的并購重組稱之為“分析驅動安全的新紀元”（New Age of Analytics-Driven Security）。

用“新紀元”來形容這兩家科技巨頭的合并并不為過。Phantom軟件與Splunk平臺的整合將創建一個全面的系統，讓安全運維團隊可以利用分析驅動的安全性來加速對安全事件的響應，推進網絡防御并降低組織風險。這將有助于更好的管理安全運營中心，減少所需人員數量。

除了Splunk+Phantom的高調亮相，其他廠商也紛紛推出自己的SOAR產品或服務：

2015年 ，Gartner 首次在《安全運營，分析和報告創新技術洞察》（InnovationTech Insight for Security Operations, Analytics and Reporting）中提出 SOAR 概念，此時的 SOAR 定義為“安全運營（Security operations），分析（analytics）和報告（reporting）”，這類工具利用機讀和有狀態的安全數據提供報表、分析和管理功能來支持安全運營工作。而近兩年國外安全編排和自動化、安全事件響應平臺以及威脅情報平臺三類技術融合，演進出新的SOAR，既安全編排（Security Orchestration），自動化（Automation）和響應（Response）。

目前SOAR最主要的應用場景在事件檢測和分發、事件響應以及威脅情報管理，這其中最至關重要的是威脅情報市場的日漸成熟，威脅情報不僅僅局限于提供IOC給安全設備的安全防御和檢測場景，還有基于攻擊組織屬性、能力以及意圖等運營級情報用于安全分析、取證和事件響應的場景，以及更高層面關心趨勢、攻擊者動機和分類的戰略情報，支撐企業高層做風險評估決策。這個領域的領導廠商甚至可以提供安全咨詢類服務，幫助企業構建自身的安全情報能力。

SOAR平臺通過自動執行任務、編排工作流程、改進協作以及賦能機構以機器速度響應事件來提高安全操作的效率。根據Gartner的預測，“到2020年年底，擁有5人以上安全團隊的機構中將有15%利用SOAR工具進行編排和自動化操作，目前這一比例不到1%”，“到2022年，40%的大型企業將結合大數據和機器學習功能來支持并部分取代監控、服務臺、自動化流程和任務，目前這一比例僅為5%。”

SOAR的未來趨勢，也給國內安全廠商帶來重要啟示。作為國內知名的網絡安全品牌，近年來，安恒信息產品線不斷拓寬和完善，目前已經擁有覆蓋“事前檢測，事中防護，事后大數據分析”全生命周期的完備產品線；此外，安恒信息專業的安全服務團隊，擁有多項國內頂級安全服務資質，提供7*24小時的全方位安全服務，可以幫助客戶快速實現“SOAR”從理念到安全實踐的落地。

總結

以上是生活随笔為你收集整理的【转】SOAR从概念到落地的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。