Gartner не разобрался в SOAR

Gartner не разобрался в SOAR

Цикл хайпа по Gartner. Где SOAR многие разочарованы.

😱 Странные слухи, что Gartner чуть ли не убил весь класс продуктов SOAR. С чего вы взяли? 🚫 Gartner всего лишь не планирует публиковать Magic Quadrant для SOAR (Security Orchestration, Automation and Response) и вдобавок отчет Gartner по программному обеспечению для управления IT-услугами (ITSM) указывает на неудовлетворенность специалистов по безопасности устаревшими продуктами и решениями SOAR. А с тем же SIEM такого никогда не было? Я помню тех людей, которые покупали SIEM и потом ждали что у них сами люди обучатся инциденты расследовать и процессы наладятся сами - а оказалось, что это тоже работа менеджмента.

В отчете Gartner отмечены следующие критические ограничения SOAR:

- Высокие первоначальные затраты на установку и внедрение. А SIEM или NGFW прямо с полпинка внедряется?

- Высокие затраты на поддержку и обслуживание.  Даже так? )

- Требование наличия специалистов с обширными навыками программирования. А они вообще пробовали SOAR? )

- Проблемы интеграции и совместимости с инструментами третьих сторон. Это да, согласен, но это общая проблема рынка, а не только продуктов SOAR.

- Нереалистичные ожидания, что SOAR может решить все проблемы безопасности как автономное решение. А от других продуктов значит ожидания реалистичные? )

Мое понимание, что в Gartner просто нет специалистов, которые могут адекватно оценить и сравнить продукты этого класса, как это мог сделать Антон Чувакин для SIEM. Я почитал их отмазку "Недостаточная зрелость рынка: SOAR как категория технологий находится на стадии формирования. Gartner предпочитает дождаться более четкой картины для создания качественной и информативной оценки" ЧТО?! ) ДА ЛАДНО!  😆

Я прекрасно настраивал людям Cortex XSOAR и это был прекрасно сформировавщийся продукт и компания Demisto. Людям было удобно подключать молодых сотрудников к процессам, у которых уже были готовые плейбуки, и которые молодежь даже не знала как работют, и они учились по плейбукам и это позволяет быстрее адаптировать нового сотрудника в SOC.

Я прекрасно помню как на конференции RSA я был под впечатлением от выступления компании Phantom, которая и придумала идею SOAR - цеплять всех вендоров через API и управлять ими через плейбуки.

Phantom выступал на RSA Conference еще в 2016 году 🔥, где был назван "Самым инновационным стартапом" конференции. Это признание было получено в результате конкурса, в котором участвовало 10 финалистов, и Phantom был выбран победителем жюри, состоящего из венчурных капиталистов и экспертов в области безопасности.

И Splunk потом купил Phantom.

Gartner считает что нужно смотреть на более зрелые решения класса AI. Да, пусть AI угадывает параметры XML для новой версии API вендора - ведь проблема то в этом.

Инструменты автоматизации рабочих процессов должны преобразовывать события в оповещения для администраторов, создавать каналы связи между разными типами устройств защиты, обновлять статус инцидента в реальном времени. В общем очередная мечта об одной красной кнопке "сделать все" умерла. Ну так это не проблема класса продуктов, это работа человеческой психологии.

Могут ли сегодняшние средства защиты устранять проблемы в один клик для сценария, например, когда все Windows лежат в синем экране от CrowdStrike бага? 


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

ksiva

Пусть будет утренний в честь того, что я его создал утром.