Цикл хайпа по Gartner. Где SOAR многие разочарованы.
😱 Странные слухи, что Gartner чуть ли не убил весь класс продуктов SOAR. С чего вы взяли? 🚫 Gartner всего лишь не планирует публиковать Magic Quadrant для SOAR (Security Orchestration, Automation and Response) и вдобавок отчет Gartner по программному обеспечению для управления IT-услугами (ITSM) указывает на неудовлетворенность специалистов по безопасности устаревшими продуктами и решениями SOAR. А с тем же SIEM такого никогда не было? Я помню тех людей, которые покупали SIEM и потом ждали что у них сами люди обучатся инциденты расследовать и процессы наладятся сами - а оказалось, что это тоже работа менеджмента.
В отчете Gartner отмечены следующие критические ограничения SOAR:
- Высокие первоначальные затраты на установку и внедрение. А SIEM или NGFW прямо с полпинка внедряется?
- Высокие затраты на поддержку и обслуживание. Даже так? )
- Требование наличия специалистов с обширными навыками программирования. А они вообще пробовали SOAR? )
- Проблемы интеграции и совместимости с инструментами третьих сторон. Это да, согласен, но это общая проблема рынка, а не только продуктов SOAR.
- Нереалистичные ожидания, что SOAR может решить все проблемы безопасности как автономное решение. А от других продуктов значит ожидания реалистичные? )
Мое понимание, что в Gartner просто нет специалистов, которые могут адекватно оценить и сравнить продукты этого класса, как это мог сделать Антон Чувакин для SIEM. Я почитал их отмазку "Недостаточная зрелость рынка: SOAR как категория технологий находится на стадии формирования. Gartner предпочитает дождаться более четкой картины для создания качественной и информативной оценки" ЧТО?! ) ДА ЛАДНО! 😆
Я прекрасно настраивал людям Cortex XSOAR и это был прекрасно сформировавщийся продукт и компания Demisto. Людям было удобно подключать молодых сотрудников к процессам, у которых уже были готовые плейбуки, и которые молодежь даже не знала как работют, и они учились по плейбукам и это позволяет быстрее адаптировать нового сотрудника в SOC.
Я прекрасно помню как на конференции RSA я был под впечатлением от выступления компании Phantom, которая и придумала идею SOAR - цеплять всех вендоров через API и управлять ими через плейбуки.
Phantom выступал на RSA Conference еще в 2016 году 🔥, где был назван "Самым инновационным стартапом" конференции. Это признание было получено в результате конкурса, в котором участвовало 10 финалистов, и Phantom был выбран победителем жюри, состоящего из венчурных капиталистов и экспертов в области безопасности.
И Splunk потом купил Phantom.
Gartner считает что нужно смотреть на более зрелые решения класса AI. Да, пусть AI угадывает параметры XML для новой версии API вендора - ведь проблема то в этом.
Инструменты автоматизации рабочих процессов должны преобразовывать события в оповещения для администраторов, создавать каналы связи между разными типами устройств защиты, обновлять статус инцидента в реальном времени. В общем очередная мечта об одной красной кнопке "сделать все" умерла. Ну так это не проблема класса продуктов, это работа человеческой психологии.
Могут ли сегодняшние средства защиты устранять проблемы в один клик для сценария, например, когда все Windows лежат в синем экране от CrowdStrike бага?
