Цикл хайпа по Gartner. Где SOAR многие разочарованы.
SOAR жив: Развенчиваем мифы о судьбе Security Orchestration, Automation and Response
В мире кибербезопасности появились слухи о "смерти" 😱SOAR (Security Orchestration, Automation and Response) после некоторых заявлений Gartner. Давайте разберемся, что происходит на самом деле и почему SOAR остается важным инструментом для специалистов по безопасности.
Что на самом деле сказал Gartner о SOAR
😱Странные слухи, что Gartner чуть ли не убил весь класс продуктов SOAR. С чего вы взяли? 🚫 Gartner всего лишь не планирует публиковать Magic Quadrant для SOAR. Исследование Gartner по IT-услугами (ITSM) указывает на неудовлетворенность специалистов по безопасности и устаревшими продуктами и решениями SOAR. А с тем же SIEM такого никогда не было? Я помню тех людей, которые покупали SIEM и потом ждали что у них сами люди обучатся инциденты расследовать и процессы наладятся сами - а оказалось, что это тоже работа менеджмента.
Критика ограничений SOAR: Насколько она обоснована?
В отчете Gartner отмечены следующие критические ограничения SOAR:
- Высокие первоначальные затраты на установку и внедрение. А SIEM или NGFW прямо с полпинка внедряется? ;)
- Высокие затраты на поддержку и обслуживание. Даже так? ) По сравнению с чем? ) А переписывать питон скрипты при смене API - это прямо совсем недорого? )
- Требование наличия специалистов с обширными навыками программирования. А они вообще пробовали SOAR или что-то из области No-Code? )
- Проблемы интеграции и совместимости с инструментами третьих сторон. Это да, согласен, но это общая проблема рынка, а не только продуктов SOAR. Так ведь SOAR и создан, чтобы эту проблему решать.
- Нереалистичные ожидания, что SOAR может решить все проблемы безопасности как автономное решение. А от других продуктов значит ожидания реалистичные? )
Мое понимание, что в Gartner просто не нашлось специалиста, который смог адекватно оценить и сравнить продукты этого класса, как это смог сделать Антон Чувакин для SIEM в свое время. Я почитал их отмазку "Недостаточная зрелость рынка: SOAR как категория технологий находится на стадии формирования. Gartner предпочитает дождаться более четкой картины для создания качественной и информативной оценки" ЧТО?! ) ДА ЛАДНО! 😆
История и развитие SOAR: От инновации до зрелого решения
Я прекрасно настраивал людям Cortex XSOAR и это был прекрасно сформировавщийся продукт и его сделала изначально компания Demisto. Людям было удобно подключать молодых сотрудников к процессам, на основе готовых плейбуков, и которые молодежь даже не знала как работают, и они учились по этим плейбукам старших товарищей - это позволяет быстрее адаптировать нового сотрудника в SOC. Спасибо, SOAR.
Я прекрасно помню как на конференции RSA я был под впечатлением от выступления компании Phantom, которая и придумала идею SOAR - цеплять всех вендоров через API и управлять ими через плейбуки. Удобная автоматизация и оркестрация - это мечта любого специалиста.
Phantom выступал на RSA Conference еще в 2016 году 🔥, где был назван "Самым инновационным стартапом" конференции. Это признание было получено в результате конкурса, в котором участвовало 10 финалистов, и Phantom был выбран победителем жюри, состоящего из венчурных капиталистов и экспертов в области безопасности.
И Splunk потом купил Phantom.
Будущее автоматизации кибербезопасности: SOAR vs AI
Gartner считает, что нужно смотреть на более зрелые решения класса AI. Да, пусть AI угадывает параметры XML для новой версии API вендора - ведь проблема то в этом.
Инструменты автоматизации рабочих процессов должны преобразовывать события в оповещения для администраторов, создавать каналы связи между разными типами устройств защиты, обновлять статус инцидента в реальном времени. В общем очередная мечта об одной красной кнопке "сделать все" умерла....
Ну так это не проблема класса продуктов, это работа человеческой психологии. Могут ли сегодняшние средства защиты устранять проблемы в один клик для сценария, например, когда все Windows лежат в синем экране от CrowdStrike бага? Нет.
Несмотря на критику, SOAR продолжает играть важную роль в современной кибербезопасности.
Что вы думаете о будущем SOAR? Поделитесь своим опытом использования этих инструментов в комментариях.