Как видно из названия статьи, сегодня речь пойдет о двух технологиях SOAR и XDR, основное предназначение которых - помочь специалистам по информационной безопасности в вопросе противодействия самым сложным угрозам, APT и целенаправленным атакам.
Перед тем как погрузиться в рассуждения какая же технология займет главенствующую позицию на ИБ рынке в ближайшее время, давайте изначально просто посмотрим, что каждая представляет из себя и для каких компаний больше подходит.
SOAR – это следующий шаг эволюции SIEM систем. Осуществляет оркестрацию и автоматизацию процессов управления разнородными ИБ- и ИТ- системами от разных производителей и обеспечивает реагирование на инциденты посредством заранее подготовленных планов реагирования (playbook) без необходимости переключения между различными консолями.
SOAR подходит для организаций с высокой зрелостью ИБ процессов, которые предпочитают оркестрировать неограниченным количеством систем от разных вендоров из единой точки, максимально автоматизируя процессы, но при этом требуя большой вовлеченности ИБ-экспертов.
XDR - следующий шаг эволюции EDR систем. Объединяет несколько продуктов безопасности от одного производителя в единую платформу обнаружения инцидентов безопасности и реагирования на них (как на уровне конечных точек, так и на уровне сети, почтового трафика, облаков и пр.), максимально автоматизируя повседневные задачи по сбору данных, выявлению, приоритезации, расследованию и нейтрализации сложных угроз из единого инструмента.
XDR подходит для организаций, которые стремятся упростить управление своей инфраструктурой ИТ- безопасности преимущественно в рамках решений от одного вендора, расширяя свои возможности по обнаружению и реагированию на сложные инциденты.
Согласно матрице приоритетов Security Operations от аналитического агенства Gartner за 2020 год, которую я привожу ниже, зрелость технологии XDR и SOAR находятся на одном уровне, в то время как выгода от этих технологий разная, высокая и средняя соответственно. Из матрицы недвусмысленно следует предположение о том, что XDR опережает по своим возможностям технологию SOAR.
Чтобы подтвердить эти догадки, давайте посмотрим на базовые функциональные различия этих технологий в приведенной таблице ниже.
Какой вывод можно сделать из увиденного? Для этого, на самом деле, достаточно посмотреть на последние две строки в таблице. Технология SOAR никогда не сможет включить в себя XDR функциональность, только если не путем объединения с XDR от этого же вендора или поглащения, например.
В то время как технология XDR со временем имеет все технологические возможности усилить взаимодействие со сторонними решениями и догнать другие сильные стороны SOAR и тем самым упростить управление ИБ-инфраструктурой не только в рамках от одного вендора, но и предоставить взаимодействие с различными инструментами от сторонних производителей, находящихся в инфраструктуре организаций для достижения комплексной стратегии по противодействию сегодняшнему быстро усложняющемуся ландшафту угроз.
В общем, лично я ставлю на XDR и его светлое будущее.
А у вас какие мысли?
markelov
SOAR не оправдали себя, сегмент рынка получился довольно узкий. Массовый заказчик не осилит даже проанализировать месиво из плейбуков, которое поставляется «из коробки» в зрелых SOAR-решениях. Полюс реальное Value он может приносить только будучи интегрированным с решениями, имеющими хороший Data Lake и хороший Response API.
А вот SOAR capabilities — редактор плейбуков, качественный case management, двусторонние коннекторы итд востребованы в соседних классах решений. Поэтому фичи SOAR-а мы и видим в XDR, либо в SIEM — смотря что у вендора есть. Почти все ведущие SIEM обзавелись «карманным» SOAR-ом и тесно интегрировали его.
Существование SOAR как отдельного класса это скорее всего комбинация исторически-сложившейся практики и возможности продать самостоятельный продукт дороже, чем «просто модуль» в составе SIEM например.
13oz
Тут можно SOAR на SIEM поменять, а смысл будет тот же.
С XDR проблема в том, что он объединяет продукты только от одного поставщика, что делает оркестрацию костыльной и половинчатой. А XDR с нормальной оркестрацией превращается в SOAR.