Американские аналитики похоронили класс ИБ-решений SOAR
Аналитики GigaOm и Gartner отмечают переход от узкой концепции SOAR к более широкой автоматизации SecOps. Этот подход объединяет детерминированные сценарии и недетерминированные ИИ-модели для полного цикла работы SOC. SecPost разбирался, будет ли SOAR также заменен в РФ или станет платформенным решением.
Компания GigaOm выпустила отчет «GigaOm Radar for SecOps Automation v1», в котором описала переход от концепции SOAR к более широкому «зонтичному» классу решений — SecOps Automation. На это обратил внимание эксперт по кибербезопасности Алексей Лукацкий в своем Telegram-канале. Также эксперт отметил, что ранее о пересмотре роли SOAR и смещении фокуса в сторону более широких подходов к автоматизации SecOps сообщала и компания Gartner.
SecPost узнал у российского ИБ-сообщества, стоит ли ждать отказа от SOAR и так ли справедлива его оценка как устаревшего.
Детерминированная и недетерминированные автоматизации: что сказано в отчете GigaOm
В GigaOm поясняют, что автоматизация SecOps — это общая категория инструментов, которые используют команды в центрах мониторинга безопасности (SOC) для анализа, расследования и реагирования на угрозы с минимальным вовлечением человека. По оценке авторов, именно SOC-процессы являются одним из наиболее перспективных объектов для автоматизации на базе больших языковых моделей (LLM), что уже проявляется в появлении на рынке десятков новых ИИ-ориентированных решений.
В отчете отмечается, что исследование по SecOps Automation является продолжением четырех предыдущих работ GigaOm по оркестрации, автоматизации и реагированию в области ИБ (SOAR). При этом новый обзор включает большинство возможностей и поставщиков из прошлых отчетов, но дополняет их отдельным блоком «Новые функции», в котором выделены возможности на базе искусственного интеллекта. Цель документа — дать подробный обзор автономных инструментов, которые автоматизируют процессы анализа, расследования и реагирования в SOC.
Авторы отчета предлагают разделять подходы к автоматизации SecOps на две группы — детерминированные и недетерминированные.
Детерминированная автоматизация, как описывают в GigaOm, обычно строится на рабочих процессах и скриптах, реализованных через Low Code/No Code, а в некоторых случаях — через роботизацию процессов (RPA). В таком подходе автоматизация следует заранее определенному логическому сценарию, который описывает человек-оператор.
Недетерминированная автоматизация, как указывается в отчете, в рамках исследования в основном связана с использованием LLM или DSLM. При этом авторы отдельно оговаривают, что ряд «авторитетных фигур» в области ИИ считает LLM полностью детерминированными системами, однако в отчете используется термин «недетерминированные» из-за того, что одна и та же модель может выдавать разные ответы при повторном вводе одинакового запроса. Также отмечается, что поставщики обычно встраивают LLM в ИИ-агентов, которые берут на себя отдельные части процессов SecOps.
По данным GigaOm, практически все поставщики, упомянутые в отчете, так или иначе внедряют автоматизацию на базе LLM. В числе гибридных подходов авторы выделяют использование LLM на этапе проектирования — когда ИИ помогает писать детерминированную автоматизацию (например, скрипты и плейбуки), а также варианты, где LLM становятся частью детерминированных рабочих процессов. Отдельно упоминается подход, при котором инструмент позволяет клиентам создавать собственных ИИ-агентов, а не ограничиваться заранее разработанными агентами поставщика.
В отчете подчеркивается, что это первый год, когда компания оценивает сферу автоматизации SecOps в контексте своих отчетов «Ключевые критерии» и «Радар».
Эволюция или конкуренция: мнение российских экспертов
По мнению руководителя продукта R-Vision SOAR Максима Ежова, SOAR до сих пор остается востребованным и полезным классом решений в России — он не столько теряет актуальность, сколько трансформируется его позиционирование и модель поставки. Ключевые функции SOAR используются во всех основных системах мониторинга и выявления инцидентов: SIEM, XDR, EDR — и это подтверждает высокую ценность этого подхода.
«Поскольку SOAR не работает изолированно и всегда опирается на внешние источники данных, логичным этапом развития стало объединение и бандлирование решений. Таким образом, “устаревает” не сам SOAR, а подход к нему как к самостоятельному коробочному продукту», — подчеркнул Ежов.
В R-Vision видят, что рынок двигается в сторону платформенной автоматизации SecOps, где SOAR становится встроенным механизмом исполнения. Это отражается и на стратегии компании — делается ставка на единую технологическую платформу R-Vision EVO с глубокой нативной интеграцией SOAR.
Несколько иной точки зрения придерживается основатель компании «Интернет-Розыск» Игорь Бедеров. По его мнению, SOAR-технологии действительно произвели революцию в сфере борьбы с угрозами, автоматизируя рутинные процессы и обеспечивая централизованное управление реагированием на инциденты. Но со временем всплыли и ограничения: высокая сложность настройки, необходимость интеграции множества разнородных инструментов и трудности масштабирования. Это подкосило интерес к SOAR со стороны крупного бизнеса.
«Но основная причина замены SOAR связана с развитием технологий искусственного интеллекта (ИИ) и машинного обучения. Современные системы безопасности способны анализировать огромные объемы данных, выявлять аномалии и предсказывать угрозы гораздо быстрее и точнее, чем традиционные инструменты SOAR», — отмечает эксперт.
По мнению Бедерова, SecOps Automation — новый этап развития методов автоматизированного управления рисками и реагирования на инциденты. Ключевое отличие, по словам Бедерова, состоит в полном охвате всех аспектов операционной деятельности служб безопасности, объединяя аналитику, мониторинг, управление уязвимостями и автоматизацию рабочих процессов.
«Если SOAR фокусировался преимущественно на управлении инцидентами и оркестрации действий между различными инструментами, то SecOps Automation стремится сделать всю работу службы безопасности автоматической и прозрачной», — говорит Бедеров.
Ежов из R-Vision, в свою очередь, не видит столь острого конфликта между SOAR и применением ИИ. Технологии решают разные, но взаимодополняющие задачи. В классические SOAR-системы внедряют технологии ИИ, и это скорее логичное развитие, нежели замена.
«SOAR выступает исполнительной системой, реализующей принятые решения через плейбуки и автоматизированные действия после того, как инцидент выявлен и понят. ИИ и ML, в свою очередь, помогают в аналитике, отвечая на вопросы “что происходит?” и “почему это важно”, и снижают нагрузку на аналитиков SOC, — говорит Ежов. — Современный тренд заключается в их сближении».
Так, LLM могут использоваться для автогенерации плейбуков, анализа отчетов или создания скриптов. При этом ИИ остается помощником, а ответственность за решения по-прежнему лежит на человеке, тогда как SOAR обеспечивает их корректное и воспроизводимое исполнение, отмечает Ежов.
«Важно разделять цель и средство. SecOps Automation — это целевая модель, тогда как SOAR — лишь один из инструментов её достижения (исторически первый и наиболее известный)», — считает руководитель продукта R-Vision SOAR.
SecOps Automation — это более широкий концептуальный подход и набор практик, которые направлены на автоматизацию ИБ, от мониторинга и обнаружения до расследования и реагирования. SOAR в этом контексте — один из ключевых инструментов, он отвечает за автоматизацию реагирования. Запрос на такой подход со стороны клиентов действительно растет, отмечает Ежов, поскольку киберинциденты случаются все чаще. Сказываются и дефицит специалистов, и высокая стоимость их услуг — это делает автоматизацию критически важной.
«Стратегия дальнейшего развития SOAR заключается в его эволюции от отдельного продукта к платформенному ядру автоматизации. Фокус смещается с восприятия SOAR как самостоятельного решения на роль платформы автоматизации безопасности, ориентированной на повышение эффективности SOC и решение бизнес-задач, а не только на техническую оркестрацию процессов», — говорит Ежов.
Все это отражает рыночный тренд: аналитики регулярно пересматривают терминологию вслед за эволюцией технологии. Тот же SOAR некогда назывался IRP, а акцент на SecOps Automation отражает движение рынка к платформенным решениям, которые комплексно закрывают задачи SOC на стыке разных продуктов и технологий, подчеркнул Ежов.
Бедеров из «Интернет-Розыска» также отмечает, что в ближайшие годы мы увидим в России гибридные продукты. Массовый переход пока не случился, но отечественные организации уже изучают возможности новых подходов и тестируют пилотные проекты.
«Скорее всего, уже в ближайшие годы мы увидим гибридный подход, где ядром останется SIEM-платформа нового поколения. В нее будет вшита автоматизация, а ИИ-модели станут стандартом для приоритизации, расследования и предложения ответных действий», — говорит Бедеров.
Информация об основных российских системах класса SOAR и их разработчиках представлена в материале SecPost.
