“安全和运维两张皮、安全能力融合不充分、海量告警疲于应对、沟通靠吼操作靠手、制度流程空转……”某大型央企信息安全中心主管表示，当前安全运行存在五大痛点：人少事多、告警疲劳、响应太慢、知识流失、缺乏协作。安全运行亟需升级换代。

12月24日，奇安信在京正式发布新版安全编排与自动化响应产品(SOAR3.0)，该产品基于自动化、智能化的网络安全检测和响应能力，以帮助政企机构打造落地可用的网络安全运行体系，安全处置效率提升十倍以上。

奇安信集团总裁吴云坤表示，SOAR不仅仅是一个产品，更是一个平台，代表一个新兴的领域，将安全、IT和人深度结合。利用体系化的方法，做到常态化运行，实现实战化攻防，为用户达到“三化六防”提供坚实的支撑。

安全运行迎来SOAR时代

近一个月来，业界接连曝出两次大规模的网络攻击：包括Fireeye武器库泄露事件和SolarWinds供应链攻击事件。显而易见的是，网络安全形势日趋严峻。从过去几年的攻防实战演习经验来看，政企机构在面临组织化、体系化的网络攻击时，依然显得力不从心。

大多数机构并没有建立起一个行之有效的安全运行体系。从发现威胁到处置威胁，需要消耗太多的人力成本和时间成本。

尤其是在响应环节，一方面是威胁处置需要不同的安全设备之间的协同联动，依靠人工操作耗时费力;另一方面是响应人员匮乏，技能水平受困于重复性劳动难以提升，而优秀的工程师的经验也难以形成标准化的流程和动作。

“SOAR并不单单是一款产品或者一个工具。”奇安信集团总裁吴云坤说，“从SOAR1.0时简单的系统模块，到SOAR2.0时自动化响应的工具再到今天奇安信即将发布的SOAR3.0，SOAR代表着安全运行的发展趋势。”

吴云坤强调，从“十三五”结尾到“十四五”的开篇，这推动了网络安全进入了另一个“元年”，标志正是实战化、常态化、体系化的安全运行在政企机构的落地，SOAR则是其中的关键。

Gartner数据显示，作为一个相对新的技术，自SOAR诞生起，就受到市场的广泛关注。预计到2023年，SOAR市场收入规模将达到5.5亿美元。

安全处置时长缩短至分钟级

SOAR大大提高的处置效率。奇安信在实践中发现，在重保时一键封禁IP场景下，对于少量的告警，人工处置要20分钟甚至更长，而利用SOAR仅需10~30秒，如果在告警量数以万计的条件下，依靠人工更加难以处置，而SOAR可以全量处置，时长仅在分钟级别。

在威胁情报比对和高危IP封堵环节，依靠人工每天只能处理部分IP，且每次处理都要半小时以上;依靠SOAR每个IP的研判与处置仅需不到10秒，且可以持续不断地去做，效率大大提升。

在生成安全事件报告环节，手工撰写需要4~8小时，SOAR一键导出仅需几秒钟，加上人工修订，合计时长可以控制到1小时内。

总体来看，SOAR能够将安全事件调查与响应操作的效率提高10倍以上;对于需要重复性持续性的操作，提升的效率更是数以百倍计。正因如此，SOAR受到了大型政企机构的欢迎。

六大特性实现网络安全常态化运行

据介绍，奇安信SOAR 3.0以实战化为核心，能够帮助企业和组织将繁杂安全运行过程梳理为任务和剧本，把分散的安全工具与功能转化为可编程的应用和动作，并且借助编排和自动化技术，将团队、工具和流程的高度协同起来，覆盖安全运行的防护、检测、响应等各个环节。

据介绍，奇安信SOAR产品具有以下关键特性：

首先，安全能力编排化能够将客户分散的安全能力和响应的过程标准化，形成能随时调用的剧本库和应用库，实现团队、工具和流程的整合与协同联动，减少人工干预。

其次，安全流程自动化能够通过自动化告警处置、自动化剧本执行、自动化服务调用等功能，让安全能力自动化执行。

再次，告警响应智能化能够对海量告警信息进行智能分诊，从而自动触发编排好的流程，就像医院的分诊台。一方面告警分诊能够自动化地聚合告警信息，计算告警的可信度和处置优先级;另一方面，可针对告警信息进行补充调查分析，方便工程师进行下一步研判。

同时，案件管理全程化可帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置，并且不断积累该案件相关的痕迹物证(IOC)和攻击者的攻击战术等指标信息。

最后奇安信SOAR具备系统架构开放化的特点，采用开放可编程架构设计，内置工作流引擎和应用开发包，用户可自定义剧本、应用、自动响应触发条件和案件处置过程，无缝融入现有安全体系。

在上述五大核心能力的基础上，此次奇安信新版SOAR加入了协同作战室功能，不仅实现了安全工程师的实时沟通，还内置了大量编排好的自动化剧本和命令，实现了人机之间的协同处置，从而改变了“通讯基本靠吼，操作基本靠手”的局面，进一步提升了协同作战的效率。

奇安信SOAR产品负责人形象的将SOAR比喻为一位交响乐指挥大师，让各种安全产品构成的乐队各施所长，协作演奏出一曲曲优美的乐章。

Gartner调查发现，随着安全技术的发展，许多工具中已经存在 SOAR 或集成了SOAR模块，如SIEM等设备已经包含工作流自动化等相关功能。

作为国内网络安全领军企业，奇安信此次发布的新版SOAR既可独立部署，也可与SOC等设备联动部署，功能、性能更具优势，能够将安全团队、工具和流程真正整合起来。同时，在重大活动网络安全保障期间，奇安信SOAR还可以帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验，全方位提升实战化、体系化、常态化安全运行水平。