随着企业组织面临越来越多的威胁，为了能够进行快速、持续地响应，安全人员不得不与复杂操作流程以及匮乏的资源、技能和预算等做斗争。青藤云安全坦言，很多企业由于安全和运维人员短缺，更希望能够通过自动化方式而不是人工方式去执行重复任务。以勒索软件为例，为了有机会控制其在企业组织中横向渗透的威胁，企业需要能在几分钟内快速完成响应。在这样情况，企业组织只能通过将更多任务派发给机器以减少响应时间。

 

但是当下，以SOC为代表安全监控系统，不仅成本高昂，而且会产生大量误报。如果安全人员以手工的方式处理大量警报分类，很容易导致忽略真实且有危害的事件。减少响应时间(包括事件遏制和补救)是控制安全事件影响的最有效方法之一。虽然在各个行业威胁检测的平均时间呈下降趋势，但仍然需要很长时间。对于大多数企业来说，快速发现威胁并作出响应和补救措施仍然面临巨大挑战。

 

在这样的背景下，安全编排、自动化与响应(SOAR)技术的需求迎来大幅增长。SOAR出现可以解决响应过程中人员短缺、改进警报分类质量和速度、减少响应时间、降低安全人员工作压力等问题。

 

1.SOAR进化发展

 

根据Gartner预测，到2022年，有30%大型企业组织（安全团队超过5人）将在安全和运维的工作中使用SOAR，这一比例远超当下5%。当下SOAR技术的早期拥护者是那些已经拥有成熟安全运维中心，并且能够理解SOAR带来好处的那些成熟的安全组织。

 

2015年，可以定义为SOAR的1.0时代。Gartner将SOAR(当时被认为是“安全运维分析和报告”)描述成为安全运维团队提供机器可读的安全数据报告和分析管理功能的产品。2017年，SOAR进入2.0时代。Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语，用以描述脱胎于事件响应、安全自动化、场景管理和其他安全工具的一系列新兴平台。Gartner观察到三种以前截然不同的技术：安全编排和自动化(SOA)、安全事件响应平台(SIRPs)和威胁情报平台(TIPs)，正在逐步融合到一起，如下图所示。