當前，企業組織面臨越來越多的網絡安全威脅，在資源和專業人才有限的情況下，借助新一代安全技術實現企業安全運營工作自動化成為企業的必然選擇。SOAR（安全編排自動化與響應）技術因其在安全自動化響應方面獨具優勢，能夠幫助企業解決安全事件響應過程中人員短缺、改進警報分類質量和速度等問題，受到更多企業用戶的關注。

為了讓國內企業用戶更好地了解企業安全運營自動化能力構建方法，幫助企業更好地部署應用以 SOAR 為代表的安全運營自動化產品，安全牛實際調研多家已經建設應用 SOAR 方案的甲方用戶，同時基于《第八版中國網絡安全行業全景圖》收錄結果，從產品創新性、可用性以及市場表現等維度，特別挑選出天融信、奇安信、神州泰岳、霧幟智能、安恒信息、亞信安全、山石網科、日志易（排名不分先后，以調研時間排序）等八家國產 SOAR 產品代表性廠商，分析研究其最新 SOAR 解決方案（產品），以及其近年來成功實施的典型 SOAR 應用案例，聯合撰寫發布《企業安全運營自動化（SOAR）應用指南》報告（以下簡稱 “報告”）。

2022年1月26日，報告正式線上發布，八位 SOAR 領域一線技術專家與安全牛分析師一起，就 SOAR 技術的發展現狀、主要挑戰、應用前景及未來發展趨勢等展開研討，超 3000 人次行業嘉賓在線觀看了本次報告發布。

報告關鍵發現 

·隨著 SOAR 技術的不斷成熟，其在我國企業用戶的應用條件已經基本具備，相關產品已從觀望期演進為應用推廣期， 國產 SOAR 方案的實際應用案例開始大量出現。

調研發現，國產 SOAR 產品已經逐漸成熟完善，國內大型用戶對 SOAR 的認知度和接受度也明顯提升，從 2020 年下半年開始出現，SOAR 方案的實際應用案例大量出現。預計未來三年，SOAR 產品市場將快速發展。

·企業在安全編排與自動化響應方面需求快速增長。

本次報告，對 11 家已經建設應用了 SOAR 產品的企業用戶進行了調研訪談，覆蓋銀行、保險、汽車、電子等行業，涉及產品購買原因、選型因素、運營感受以及使用效果等維度。調研發現，現階段企業在安全運維方面大都存在周期性重復勞動多、海量安全報警、響應不及時、安全人員不足等挑戰，企業對自動化安全運營及響應技術的應用需求普遍存在。

·SOAR 的技術路線相對清晰，落地的主要難點在于是否能夠滿足用戶的復雜多變場景。

現階段，國內安全廠商對 SOAR 的概念及技術體系比較明確，落地的難點在于是否能夠真正根據用戶場景實現安全編排及自動化響應，不管利用的是自己技術積累或研發實力，還是借助其他家的產品。

·應用 SOAR 解決方案對企業自身安全運營能力有較高要求，目前還處于落地應用的早期階段。

調研發現，現階段使用 SOAR 產品的用戶均為規模較大的企業，這些企業自身具有安全運營團隊或采購第三方安全服務，安全運營能力較強。這樣的用戶較早使用 SOAR，與其自身特點和需求分不開。首先其安全運營流程清晰、規范，為流程編排奠定基礎；其次人力成本過高推動了自動化運營的需求。

·現有 SOAR 方案均需要不同程度的人工介入，自動化能力將成為未來考量 SOAR 方案可用性的重要指標。

多家安全廠商表明，未來會提高在 SOAR 中對人工智能技術的應用，有些是以智能機器人的方式為響應提供輔助決策，有些是將智能技術融入到底層能力進行模型構建、數據分析。未來，人工智能和人類智慧會逐漸在 SOAR 中結合得更加緊密。

專家觀點

日志易安全產品總監施澤寰： 很多情況下，SOAR 是與 SIEM 一起結合使用，為用戶提供從檢測、分析到響應的整體解決方案。如果告警精準度較低或者誤報率較高，而且數量比較多的話，就影響 SOAR 的發揮。所以我們建議 SOAR 與 SIEM 結合使用。除此之外，日志易認為 SOAR 解決方案的三大主要功能包括組件能力、劇本編排能力及任務管理能力。在實際落地過程中，SOAR 可用于 IP 自動化封禁和異常 DNS 請求自動化分析等場景。

山石網科安全運營業務群資深產品經理朱凱： SOAR 的本質是通過安全編排、自動化與響應技術將安全運營相關的人、技術和流程進行整合，有序處理多源異構數據，持續進行安全告警分診與調查、攻擊分析、威脅處置、事件響應，衡量并改善安全運營效率、簡化安全運營管理、為安全團隊賦能。其短期目標是實現手動任務和重復性任務的自動化，縮短威脅的補救時間，長期目標是從綜合安全運營視角找到可以量化、標準化的抓手去提升安全運營成熟度。

亞信安全安全管理產品中心解決方案總監郭濤： SOAR 應包含威脅情報分析、安全編排自動化、安全事件響應三個主要功能，其中安全編排與自動化是 SOAR 的核心，通過編排的劇本完成從情報分析到事件響應的安全流程處理過程。使相關組織能夠收集來自不同來源的安全威脅數據和警報，通過人機結合執行事件分析和分類，以幫助安全人員根據標準工作流定義，優先化和驅動標準事件響應活動。

安恒信息高級副總裁劉博： 目前，很多企業面臨一個困境是，建立了態勢感知系統，但是用不好。SOAR 技術的出現緩解了這一難題。從安恒多家客戶的實際應用場景來看，SOAR 可以替代大概 80%-90% 的人力工作。我們預期，在未來的 3-5 年中，SOAR 是一項非常關鍵的技術，也能夠最大限度地發揮網絡安全態勢感知技術體系的能力。同時，SOAR 還能夠在工業互聯網安全、5G 安全領域發揮更大價值。

霧幟智能聯合創始人兼 CTO 傅奎： 在企業安全運營中，時間是最大的敵人，安全運營人員需要與攻擊者賽跑搶時間。當前，企業安全運營面臨高成本、低效率的人工響應困境：安全人員淹沒在海量告警中，操作靠手、溝通靠吼，新手不會、老手不夠、處置緩慢……企業需要自動化、智能化的網絡武器作戰平臺來解決這一難題。“AI+SOAR” 將人工智能技術精準落地到安全場景，可以充分發揮 “人類工程師的智慧 + 機器的智能與速度”，通過顯著提升自動化水平助力企業解放生產力。

神州泰岳安全咨詢總監程建： 目前，企業組織既面臨平臺較為完備但使用困難、協同能力差為突出特點的矛盾；又需要應對持續升級加碼的威脅、持續變化的業務需求、持續提升的人員要求、持續的完善監管需求等挑戰。因此，企業安全運營工作需要常態化、流程化、實戰化以及體系化的解決思路，以 “實戰化，體系化，常態化” 為新理念，以 “動態防御，主動防御，縱深防御，精準防護，整體防護，聯防聯控” 為新舉措，來應對當前企業網絡安全運營面臨的威脅與挑戰。

奇安信 SOAR 產品行銷曾輝： 當前真正重視安全運營工作的客戶面臨五大痛點：一是，在人員組織方面，存在人員不足、技能有限、工作太多、忙不過來等問題；二是，在告警處置方面，存在大量告警，處理不過來，產生 “告警疲勞” 等問題；三是在響應速度方面，存在響應時間太長、手工操作太多、難以及時止損等問題；四是，在知識沉淀方面，存在運行知識難以傳承，無法積累的問題；五是，在整合協作方面，存在運行工具碎片化，人、工具、流程三者之間缺乏協同的問題。 奇安信認為，SOAR 是一個將安全運營相關的團隊、工具和流程通過編排和自動化技術整合在一起，有序處理多源數據，持續進行安全告警分診與調查、案例處置、協同作戰、事件響應，并最終實現高效、有效安全運營的智能協作系統。

天融信產品總監惠紅剛： 從實戰角度看，SOAR 有三個核心思想：一是安全分析處置經驗總結固化重用；二是安全分析處置操作盡可能自動化；三是 SIEM、安管、態勢感知等產品的能力延伸。 SOAR 建設不是一蹴而就的，按照經驗其合理的推進過程為： 首先，建立 SIEM、安管、態勢感知等平臺，匯聚安全數據，建立專業安全運營團隊，實現安全數據集中化研判分析；其次，建立 SOAR 平臺，將安全運營團隊中最常開展的研判分析任務固化為劇本，開展自動化輔助研判；最后，完善 SOAR 劇本庫，根據大部分安全運營團隊工作，梳理可固化的劇本，接入所需聯動對象，提升完善 SOAR 劇本庫，最大化地開展自動化運營。