碳泽技术研究——SOAR：不会取代人类，但能使人类更高效

点击上方蓝字，关注碳泽

引言

无论是因为当代有着太多的科幻电影描述了人工智能的实现过程，还是因为我们作为人类本能地害怕人工智能、自动化与机器学习的潜力，许多人往往认为，自动化技术的萌芽与发展，最终将使人类在信息安全这一体系中遭到淘汰。这也使得一部分信息安全行业从业者感到悲观与焦虑。

站在技术前沿角度来看，尽管近年来出现的新安全技术（例如SOAR）以渐进式自动化的形式，配合某种程度的自学习能力，结合其他安全产品为使用者提供各种下一代安全能力，但唯一明确的事实是，人类将继续在信息安全这一领域保持领先地位，而不会为自动化技术所取代。

这其中，SOAR作为新安全技术中更为“年轻”的代表，直至近年才在信息安全领域得到较为广泛的认知与运用，但也由于其相对革新性的功能而经常被误解。

有关安全编排、自动化与响应…

许多企业安全部门的安全运营人员，甚至专职分析师都常常淹没在重复，耗时的警报中。处理这些警报实际上占用了他们的大部分精力和时间。

而与此同时，攻击者——或者我们俗称的黑客也非常了解这一事实。他们通过用过多的警报来轰炸SIEM/SOC，让企业既成的安全防御与处置体系过载，使得实际产生威胁的安全事件可能“从安全部门的眼皮下溜走”，同时让安全运营人员及分析师忙于无休止的警报评估。

考虑到大多数警报实际上都是误报，这意味着分析师的大部分重复性劳动可能都是徒劳；而且，考虑到攻击者想要掩盖的威胁可能比以往任何时候都更加复杂和战术化，大多数企业也并无法承受能在信息系统中存在数天或数周的潜在威胁。因此，企业安全部门的的目标应该是：赶上攻击者的脚步，并在几分钟内评估威胁并及时进行处置。

这也正是SOAR可以帮助大多数企业安全部门做的事情。SOAR并没有以取代人类为目标——它实际上在做相反的事情：它允许SOC自动执行那些花费大量时间的繁琐、耗时长且价值低的重复性任务，例如处理卷帙浩繁的告警；通过自动化技术，SOAR清除了企业安全部门中应接不暇的混乱局面，以便安全运营人员与分析师可以将他们的时间和精力投入更具挑战性的业务与研究中。

SOAR并不能简单取代安全专业人员的专业性与专业手法，它是一个解决脏活累活的良方。如果手动执行，则事件文档、警报数据收集以及类似的重复又耗时的过程，将会十分繁琐。由于这些繁琐而又重复性的任务往往令人不堪重负，企业安全运营人员会在这一过程中经历“告警疲劳”形式的倦怠，并使他们对自己在企业安全运营体系中的作用感到失望，缺乏更进一步的动力，从而呈现一个“可观”的恶性循环。

这就是为什么安全运营人员实际上迫切需要类似SOAR的技术的原因。SOAR的初衷是在安全运营方面向人类团队提供帮助，而不是取代人类团队；并且，这是它将一直保持发展下去的方式。碳泽® 千乘安全编排自动化响应平台能够在您的企业安全运营过程中很好地扮演纽带角色，将您的各类安全产品（亦可直接基于碳泽NGDR下一代安全防御与响应解决方案）通过工作流灵活地串接起来，从繁琐工作中解放您的企业安全运营团队。

帮助您的团队放大既有安全力量

SOAR所解决的安全运营问题，从前的信息技术发展水平下无法得到有效解决，但当前已经可以了。人们会误以为SOAR可以代替人类团队，但其实SOAR更应被视为一个“力量放大器”，它可以通过许多方式提高您企业安全团队的生产力：

• 增强的威胁搜寻功能
  

• 解决技能短缺问题
  

• 缩短事件响应时间
  

• SOC内部更好的沟通与协调
  

• 无缝协调所有工具

SOAR不仅使企业安全团队具备自动化众多任务的能力，还使整个团队的生产力，沟通和协调能力得到客观地提升。最重要的是，SOAR将帮助安全团队做得更好。

SOAR并未将重点从企业安全团队构建转移到技术构建上，而是将两者融合在一起，共同应对复杂网络威胁。借助SOAR这样灵活且具有前瞻性的技术，您企业安全团队的成员将成为安全运营体系的真正捍卫者。

尽管许多企业还不够了解SOAR技术，无法理解和实现SOAR引入的非常规功能，但相信随着时间的流逝，SOAR将逐渐被企业与市场认为是一种必需品，而不是奢侈品一类的非必需存在。

自动化并不意味着完全机器“自治”

人工智能和机器学习正在书写技术进步的新篇章，但是信息安全仍然以人类的专业知识作为其基石，自动化技术也并不意味着完全的机器“自治”。

此处的“自治”指的是自动化系统在没有人类团队监督或控制的情况下进行的自主运营过程。需要明确的是，SOAR不具有完全的自主运营功能，应用SOAR技术也并不意味着您的信息系统中多了完全机器“自治”的部分。

是的，SOAR确实在各种安全操作中实现了自动化，从而使相关人员从“必须自己执行每一项繁杂任务”的工作中解放了出来。但同样，在自动化过程的任何阶段，都需要由人类来控制自动化的方式——编写工作流正是这样的过程。安全专家确定他们要自动化安全操作的哪些部分，以及他们对哪些部分需要进行手动监督。应用于流程的自动化程度是完全可调节的，并且，安全专家可以自由决定哪些任务需要被自动化，而哪些不需要。这一过程中若是没有安全专家的参与，将使SOAR成为空有工具、插件堆砌的花瓶。

因此，尽管SOAR及其自动化功能确实以某种方式“取代”了人力资源，但自动化的完全“自治”将是不可能的，尽管这是所有安全运营人员理想中的情况，但就当前的信息安全技术发展而言，漏洞修复过程并无法做到“一键式”，即通过点击几个按钮那样简单的步骤完成，而类似的自动化工作流，也并非简单编写即可在业务系统中起到作用。碳泽® 千乘安全编排自动化响应平台基于碳泽团队多年安全行业积累，能为您提供极具参考价值的工作流最佳实践，配合平台级SOAR能力，使您的安全业务自动化“起步更高”；同时，碳泽SOAR专家组也时刻准备为您的特殊业务需求，“量身打造”出属于您企业的专属自动化工作流。

众所周知，最具破坏性的攻击始终是人们最不希望看到的攻击。因此，仅凭SOAR技术并无法预测未知或高级且持续的黑客行为，这一部分具备战术分析思维的任务，才是未来需要人类安全团队主要着眼的核心任务。

如您有任何疑问，请不吝与我们联系。

当前，碳泽主要聚焦于为您提供：

• 下一代安全防御与响应能力（NGDR）建设；
  

• 漏洞全生命周期风险管理平台建设。

  
  

我们的产品包括：

• 碳泽®玉衡漏洞风险管理平台

• 碳泽®摇光深度安全检测系统

• 碳泽®开阳Web安全评估系统

• 碳泽®千乘安全编排自动化响应平台
  
  

点分享

点点赞

点在看