Позволю себе вернуться к предыдущей заметке про отчет Gartner по SecOps, в которой я написал, что SOAR умерли. И кажется мне, что надо дать пояснения, почему я так написал. Мне довелось немножко, совсем немножко :-), работать с Demisto до покупки его Palo Alto, с Phantom до покупки его Splunk, с FortiSOAR уже после покупки CyberSponse и с Cisco SecureX и CTR; так что тоже могу что-то сказать от себя, но не буду 🙂 Будем опираться на факты. Справедливости ради, Gartner не написал «умерли», он написал «obsolete», то есть «выйдет из употребления», «отживет свое», что в целом равнозначно используемому мной более простому «умрут». И говорит об этом Gartner, кстати, не первый год.
Например, в прошлом году, Gartner выпустил неплохое руководство «Market Guide for SOAR», которое начинается с достаточно очевидной цитаты:
Тенденция консолидации технологий ИБ повлияли и на рынок отдельных SOAR, которые все чаще становятся составной частью других технологий кибербезопасности. Руководители ИБ и управления рисками должны использовать это руководство, чтобы оценить, соответствует ли автономное решение SOAR их требованиям.
То есть уже прошлым летом Gartner, проанализировав 10 поглощений SOAR-вендоров, отметил стремление крупных игроков, таких как Splunk, Fortinet, Palo Alto, Micro Focus, Sumo Logic, Logpoint, Google, Devo и других, к включению поглощенных активов в свои портфолио, а затем и более плотную интеграцию с существующими продуктами. Чаще всего интеграция идет по пути включения функций SOAR в SIEM; реже — в XDR и другие системы обнаружения и реагирования.
Кстати, у Gartner нет, никогда не было и не планировалось своего «магического квадрата» по SOAR, который бы оценивал различные продукты этого класса.
И это тоже вполне закономерно, так как эта технология не успела развиться до появления квадрата. Сам термин был введен Gartner’ом в 2015-м году и буква R тогда означала Reporting (отчетность). В 2017-м R стала означать Response и с этого момента это сегмент рынка ИБ рос достаточно активно, что и привело к росту интереса к нему со стороны более крупных ИБ-компаний. Но тема магических квадратов все-таки затронула и SOAR — SoftwareReviews и Quadrant Knowledge Solutions выпустили свои версии, которые подчеркивали лидерство того или иного вендора SOAR.
Оба «квадрата» фокусируются на том, что из себя представляют SOAR, какие функции у них есть и какие сценарии их применения могут быть использованы заказчиками. При этом, они стараются не погружаться в сложности, с которыми сталкиваются пользователи SOAR-решений. Например, Gartner в своем руководстве пишет, что средства автоматизации не имеют расширенных функций по управлению Threat Intelligence, что присутствует в TIP; поэтому приходится использовать оба класса решений, а еще SIEM, что становится не очень удобно и, самое главное, дороговато.
Ровно по этой причине, многие крупные вендора начинают включать функции SOAR, TIP и IRP в SIEM, которые у них есть в портфолио. Единое решение гораздо проще обосновать заказчику, чем три или четыре разрозненных.
Помимо вопроса цены и отсутствия нормальной работы с облаками, можно выделить следующие ограничения на пути развития SOAR, как самостоятельных решений:
- SOAR требуют непрерывной практики разработки и поддержки правил интеграции (на уровне скриптов или в виде No Code / Low Code), схожей с DevOps, а к этому готовы далеко не все службы ИБ, которые далеки от реализации подхода «X-as-a-Code«. По данным ESG 92% ИБшников считают, что работа с SOAR требует навыков программирования.
И это реально так. Вы определили use case, вы его описали, вы загнали его в SOAR, вы его протестировали, вы его запустили в прод, вы оценили его эффективность, вы адаптировали его, если что-то не так, и так по кругу, для каждого нового use case.
- На рынке осталось мало самостоятельных игроков SOAR из-за поглощения более крупными компаниями.
- Ограниченное число интеграций, что решить еще сложнее, чем написать коннекторы SIEM к нужным средствами телеметрии.
- Далеко не все продукты, особенно российские, имеют полноценный API, с помощью которого SOAR могли бы интегрироваться с ними.
При этом не стоит считать, что смерть SOAR означает отказ от автоматизации; все с точностью до наоборот. Если посмотреть на стартапы, представленные на BlackHat, RSA, GISEX/GITEX и других ИБ-выставках, то там много компаний, продвигающих тему автоматизации. Например, Torq, который выше отнесли к SOAR, выпустил отдельный манифест «SOAR мертвы», где подробно описал, почему он так считает. Там много всяких цифр, цитат, обоснований и ссылок на всякие IDC, Forbes, GIGAOM и т.п., якобы доказывающих правоту Torq. Последняя не забывает при этом продвигать свое решение по гиперавтоматизации, которое «не такое как SOAR» 🙂
Но, Gartner — это все-таки аналитическая компания, и поэтому они не могли сказать «выбросьте свои SOAR на помойку». Они дали рекомендации, которые выглядят вполне адекватными:
- Определите сначала конкретные задачи по автоматизации ваших процессов, прежде чем инвестировать в решения класса SOAR. При этом стоит учитывать не только первоначальные инвестиции, но и совокупную стоимость владения на всем жизненном цикле программы SecOps.
- Сначала рассмотрите возможность использования функций автоматизации на борту более крупных платформ безопасности, таких как SIEM или XDR, которые могут удовлетворить ваши потребности. Автономные платформы SOAR должны быть скорее исключением. Возможно, вам подойдут иные средства корпоративной автоматизации или решения класса RPA.
- Оцените наличие у сотрудников навыков разработки для полного использования функционала SOAR. Руководители служб ИБ также должны оценить временные и финансовые затраты на такое обучение, которые надо будет добавить к совокупной стоимости владения SOAR.
- При определении требований к SOAR привлекайте всю службу ИБ, сотрудники которой смогут выйти за рамки простого подключения SOAR к SIEM и описать большее число сценариев применения.
- Внедрите четко определенные процессы и сценарии перед приобретением SOAR. Хотя SOAR предлагает множество преимуществ, не каждая организация безопасности готова к инструментам SOAR, и для разработки сценариев (use cases и playbook) требуется значительное количество времени.
Так что фраза, вынесенная в заголовок, почти отражает то, что говорит Gartner последние пару лет. Для 99% заказчиков этот прогноз вполне корректный.
Заметка Почему SOAR мертвы?! была впервые опубликована на Бизнес без опасности .