“安全和運維兩張皮、安全能力融合不充分、海量告警疲于應對、溝通靠吼操作靠手、制度流程空轉……”某大型央企信息安全中心主管表示，當前安全運行存在五大痛點：人少事多、告警疲勞、響應太慢、知識流失、缺乏協作。安全運行亟需升級換代。

12月24日，奇安信在京正式發布新版安全編排與自動化響應產品(SOAR3.0)，該產品基于自動化、智能化的網絡安全檢測和響應能力，以幫助政企機構打造落地可用的網絡安全運行體系，安全處置效率提升十倍以上。

奇安信集團總裁吳云坤表示，SOAR不僅僅是一個產品，更是一個平臺，代表一個新興的領域，將安全、IT和人深度結合。利用體系化的方法，做到常態化運行，實現實戰化攻防，為用戶達到“三化六防”提供堅實的支撐。

安全運行迎來SOAR時代

近一個月來，業界接連曝出兩次大規模的網絡攻擊：包括Fireeye武器庫泄露事件和SolarWinds供應鏈攻擊事件。顯而易見的是，網絡安全形勢日趨嚴峻。從過去幾年的攻防實戰演習經驗來看，政企機構在面臨組織化、體系化的網絡攻擊時，依然顯得力不從心。

大多數機構并沒有建立起一個行之有效的安全運行體系。從發現威脅到處置威脅，需要消耗太多的人力成本和時間成本。

尤其是在響應環節，一方面是威脅處置需要不同的安全設備之間的協同聯動，依靠人工操作耗時費力;另一方面是響應人員匱乏，技能水平受困于重復性勞動難以提升，而優秀的工程師的經驗也難以形成標準化的流程和動作。

“SOAR并不單單是一款產品或者一個工具。”奇安信集團總裁吳云坤說，“從SOAR1.0時簡單的系統模塊，到SOAR2.0時自動化響應的工具再到今天奇安信即將發布的SOAR3.0，SOAR代表著安全運行的發展趨勢。”

吳云坤強調，從“十三五”結尾到“十四五”的開篇，這推動了網絡安全進入了另一個“元年”，標志正是實戰化、常態化、體系化的安全運行在政企機構的落地，SOAR則是其中的關鍵。

Gartner數據顯示，作為一個相對新的技術，自SOAR誕生起，就受到市場的廣泛關注。預計到2023年，SOAR市場收入規模將達到5.5億美元。

安全處置時長縮短至分鐘級

SOAR大大提高的處置效率。奇安信在實踐中發現，在重保時一鍵封禁IP場景下，對于少量的告警，人工處置要20分鐘甚至更長，而利用SOAR僅需10~30秒，如果在告警量數以萬計的條件下，依靠人工更加難以處置，而SOAR可以全量處置，時長僅在分鐘級別。

在威脅情報比對和高危IP封堵環節，依靠人工每天只能處理部分IP，且每次處理都要半小時以上;依靠SOAR每個IP的研判與處置僅需不到10秒，且可以持續不斷地去做，效率大大提升。

在生成安全事件報告環節，手工撰寫需要4~8小時，SOAR一鍵導出僅需幾秒鐘，加上人工修訂，合計時長可以控制到1小時內。

總體來看，SOAR能夠將安全事件調查與響應操作的效率提高10倍以上;對于需要重復性持續性的操作，提升的效率更是數以百倍計。正因如此，SOAR受到了大型政企機構的歡迎。

六大特性實現網絡安全常態化運行

據介紹，奇安信SOAR 3.0以實戰化為核心，能夠幫助企業和組織將繁雜安全運行過程梳理為任務和劇本，把分散的安全工具與功能轉化為可編程的應用和動作，并且借助編排和自動化技術，將團隊、工具和流程的高度協同起來，覆蓋安全運行的防護、檢測、響應等各個環節。

據介紹，奇安信SOAR產品具有以下關鍵特性：

首先，安全能力編排化能夠將客戶分散的安全能力和響應的過程標準化，形成能隨時調用的劇本庫和應用庫，實現團隊、工具和流程的整合與協同聯動，減少人工干預。

其次，安全流程自動化能夠通過自動化告警處置、自動化劇本執行、自動化服務調用等功能，讓安全能力自動化執行。

再次，告警響應智能化能夠對海量告警信息進行智能分診，從而自動觸發編排好的流程，就像醫院的分診臺。一方面告警分診能夠自動化地聚合告警信息，計算告警的可信度和處置優先級;另一方面，可針對告警信息進行補充調查分析，方便工程師進行下一步研判。

同時，案件管理全程化可幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置，并且不斷積累該案件相關的痕跡物證(IOC)和攻擊者的攻擊戰術等指標信息。

最后奇安信SOAR具備系統架構開放化的特點，采用開放可編程架構設計，內置工作流引擎和應用開發包，用戶可自定義劇本、應用、自動響應觸發條件和案件處置過程，無縫融入現有安全體系。

在上述五大核心能力的基礎上，此次奇安信新版SOAR加入了協同作戰室功能，不僅實現了安全工程師的實時溝通，還內置了大量編排好的自動化劇本和命令，實現了人機之間的協同處置，從而改變了“通訊基本靠吼，操作基本靠手”的局面，進一步提升了協同作戰的效率。

奇安信SOAR產品負責人形象的將SOAR比喻為一位交響樂指揮大師，讓各種安全產品構成的樂隊各施所長，協作演奏出一曲曲優美的樂章。

Gartner調查發現，隨著安全技術的發展，許多工具中已經存在 SOAR 或集成了SOAR模塊，如SIEM等設備已經包含工作流自動化等相關功能。

作為國內網絡安全領軍企業，奇安信此次發布的新版SOAR既可獨立部署，也可與SOC等設備聯動部署，功能、性能更具優勢，能夠將安全團隊、工具和流程真正整合起來。同時，在重大活動網絡安全保障期間，奇安信SOAR還可以幫助客戶在事前制定預案以逸待勞、事中自動響應快速處置、事后復盤總結積累經驗，全方位提升實戰化、體系化、常態化安全運行水平。