Gartner ne verirse, Gartner onu geri alabilir.
Yedi yıl önce, iş zekası firmasındaki analistler, yeni bir ürün sınıfını tanımlamak için “güvenlik orkestrasyonu, otomasyonu ve müdahalesi” (SOAR) terimini ortaya attılar: yalnızca tehditleri ve sorunları tespit etmekle kalmayıp, aynı zamanda olay müdahale ekiplerinin çabalarını artırmak ve sonunda müdahaleyi tamamen otomatikleştirmek için oyun kılavuzlarını kullanabilen entegre güvenlik operasyonları.
O halde Gartner’ın iki ay önce bu teknolojiyi “platodan önce modası geçmiş” — kategorinin köklü bir BT aracı haline gelmeden önce duraksadığı anlamına geliyor — bir karmaşa yarattı. Müşteriler, firmayı bu tanımlamanın ne anlama geldiğine dair sorularla boğdu. Güvenlik otomasyon sektöründeki satıcılar daha açık sözlüydü.
Güvenlik operasyonları otomasyonu sağlayıcısı Swimlane’in CEO’su James Brear, SOAR’ın öldüğüne dair herhangi bir önerinin “şimdiye kadar duyduğum en aptalca şey – kesinlikle ahmakça” olduğunu söylüyor. “Sadece [term] SOAR ve otomasyon kelimesini ekledi, [then the assertion] kulağa saçma geliyor. Bu, yapay zekanın ortadan kalkacağını söylemek gibi bir şey.”
SOAR, Gartner’ın korkulan “Hype Döngüsü” tanımı. 2022 yılında, veri ağları modası geçmiş oldu platoya ulaşmadan önce – daha resmi olarak “Üretkenlik Platosu”. 2020’de Gartner bu etiketi yapıştırdı talep odaklı malzeme gereksinimleri planlamasıbir tedarik zinciri yönetimi yaklaşımı. Aynısı elektrik hatları üzerinden geniş bant 2010 yılında.
Gartner, “Bu erken eskime, genellikle rakip bir teknolojinin ortaya çıkmasından kaynaklanır; örneğin, analog yüksek çözünürlüklü televizyon, dijital yüksek çözünürlüklü televizyona yerini bıraktı” dedi. Hype Cycle modelinin açıklaması.
Gartner’da kıdemli direktör analisti olan Eric Ahlm, son durumda SOAR’ı modası geçmiş olarak etiketlemenin, ürün kategorisinin bileşenlerinin diğer ürünler ve hizmetler tarafından özümsenmesi ve otomasyonun giderek beklenen bir özellik haline gelmesiyle gerçekleştiğini söylüyor. Analist, güvenlik operasyon merkezlerinin (SOC’ler) farklı ürünleri operasyonlar için tek bir merkezde birleştirmek için bağımsız bir özellik olarak orkestrasyona ihtiyaç duyduğunu ve kurumsal müşteriler basitleştirilmiş operasyonlar aradıkça, tedarikçilerin hizmetlerini diğer ürün ve hizmetlerle birleştirmek için daha da entegre ettiğini açıklıyor.
Birleşme ve satın almaların geçit töreni bu eğilimi vurguluyor. Palo Alto Networks Demisto’yu 2019’da satın aldı Ve IBM’den QRadar’ı satın aldı bu yılın başlarında. Rapid7 SOAR firması Komand’ı satın aldı 2017’de ve SumoLogic 2021’de DFLabs’ı satın aldı.
Ahlm, “Otomasyon eklemenin birçok farklı yolu var – otomasyon yoluyla verimlilik artışı veya ölçek artışı – tek başına, özel bir SOAR platformu satın almadan,” diyor. “Aslında çağırdığımız şey bu – otomasyonun sonu veya çıkmaz bir kavram olduğu değil – ancak otomasyon için özel platformlar dışında hiçbir şey satmayan satıcılar alanının … çok canlı bir geleceği olduğunu düşünmüyorum.”
Aranıyor: Basitleştirilmiş Bir Güvenlik Merkezi
Çoğu şirket, olayları yönetebilecekleri, soruşturmalar yürütebilecekleri ve tehditlere yanıt verebilecekleri tüm güvenlik bilgileri için tek bir merkez ister. SOAR başlangıçta bu merkezi merkez olarak öngörülmüştü, ancak ürünler arasında güçlü entegrasyon, daha iyi otomasyon ve görünürlüğe odaklanma, diğer ürünlerin artık bu rolü üstlenebileceği anlamına geliyor.
Başka bir deyişle, merkezi hub’ın SOAR olması gerekmez. Ahlm, giderek artan bir şekilde, güvenlik operasyonları platformu seçiminin bir işletmenin nerede başladığına ve hangi çekirdek platformun en fazla değeri sağladığına bağlı olduğunu söylüyor. Örneğin, hem genişletilmiş algılama ve yanıt (XDR) hem de güvenlik olayı ve bilgi yönetimi (SIEM) platformları, şirketler için giderek daha fazla bir güvenlik odak noktası haline geliyor.
Otomatik güvenlik operasyon platformları sağlayıcısı Sumo Logic’in saha CTO’su Chas Clawson, SOAR’ın entegrasyon, görünürlük ve otomatik yanıt gibi özelliklerinin çeşitli güvenlik ürünlerine taşındığını söylüyor.
“Bu, otomasyon gibi kritik bir şeyin bir tür temel unsur haline gelmesi ve her çözümün bir tür otomasyona sahip olması gerektiğinde, güvenlik operasyonları dünyasının olgunluğunu gösteriyor,” diyor. “Muhtemelen uzun zamandır bekleniyordu [because of the] acı … savunmacı tarafından — analist tükenmişliği ve döner sandalye sendromu … [from which] “Gerçekten biraz ertelemeye ihtiyacımız var.”
Sumo Logic’in kendi SOAR ürünü olan Cloud SOAR, farklı BT cihazlarından, güvenlik ürünlerinden ve bulut hizmetlerinden gelen veri akışlarını entegre etmeye ve güvenlik operasyonları için otomasyon sağlamaya odaklanıyor.
Daha İyi SOAR İçin Hala Güçlü Bir Dava Var
SOAR’ın arkasındaki bir diğer şirket ise güvenlik otomasyonunu ikiye katlayan siber güvenlik firması Palo Alto Networks. Şirketin güvenlik operasyon merkezi, günde 36 milyar olayı (75 terabayttan fazla bir hacim) yalnızca 10 insan analistle alıyor. Şirket, kullanım durumunda Cortex XSOAR’ın 16 analistin işini otomatikleştirdiğini ve manuel eylemlere harcanan süreyi %90 oranında azalttığını söylüyor.
Palo Alto Networks’ Cortex ve Prisma Cloud ürünlerinin kıdemli başkan yardımcısı Gonen Fink, “SOAR çözümleri, zaman alıcı, manuel görevleri standartlaştırıp otomatikleştirerek, olay müdahalesine harcanan süreyi önemli ölçüde azaltıyor” diyor. “Birçok bağımsız güvenlik ürünü belirli bir düzeyde otomasyonu entegre etmeye devam ederken, SOAR çözümleri daha sağlam yetenekler sunarak bir organizasyonun teknoloji yığınında çeşitli eylemleri düzenliyor ve otomatikleştiriyor.”
Swimlane ayrıca güvenlik görevlerini ve olay müdahalesini otomatikleştirmeye odaklandı, genellikle Fortune 2000 gibi daha büyük şirketler için. 2014’te kurulan şirketin yaklaşımı, Gartner’ın modern SOAR terimini yarattığı bildirilen tarihten üç yıl önce, tüm BT cihazlarından veri ve güvenlik ürünlerinden istihbarat toplamak ve ardından tespit edilen olaylara verilen müdahaleyi otomatikleştirmektir, diyor Swimlane’den Brear.
“Yaratılış [of the company was]’SOC’yi nasıl daha iyi hale getirebiliriz?’ diyor. “Zaman içinde geriye giderseniz, SOC çalışanlarının baktığı bir sürü farklı araç vardı — görünürlük elde etmeye çalışmak karmaşıktır.”
Analist firması Omdia’ya göre, bu nedenlerden dolayı, bağımsız bir SOAR platformu birçok şirket için güvenliğe yönelik gerekli ve makul bir yaklaşımdır ve modası geçmiş olmaktan uzaktır; ancak müşterilerin Microsoft ve yönetilen algılama ve yanıt (MDR) platformları gibi yaygın teknolojilerle daha iyi entegrasyonlara ihtiyaç duymaya devam edecekleri belirtiliyor.
Omdia’nın kıdemli analisti Elvia Finalle, “Güvenlik teknolojileri kullanıcıları, kullanımı kolay, minimum eğitim gerektiren ve kolayca entegre edilebilen çözümlere sahip olmak istiyor” diyor. “SOAR satıcıları, platformlara uyum sağlamaya ve diğer satıcılar ve çözümlerle uyumluluklarını genişletmeye devam etmek zorunda kalacak.”
Yapay Zeka + Otomasyon = Güvenlik Evrimi
Omdia’nın yönetici baş analisti Eric Parizo, SOAR’ın temel kullanım durumunun güçlü olmaya devam ettiğini ancak yapay zeka, otomasyon ve mevcut siber güvenlik ürünlerinin birleşiminin, yapay zeka destekli yeni nesil SIEM gibi SOAR sistemlerinden pazar payı alabilecek bir platformla sonuçlanacağını söylüyor.
“SOC karar vericileri [not] daha hızlı, daha verimli bir TDIR’yi destekleme sorununu çözmeye çalıştıkları kadar orkestrasyon ve otomasyon satın almaya da bakıyorlar [threat detection, investigation, and response] “Daha iyi, daha tutarlı sonuçlarla yaşam döngüsünü” diyor. “Bağımsız SOAR çözümlerindeki orkestrasyon ve otomasyon yetenekleri, bu iş hedeflerini kolaylaştırmayı amaçlıyor.”
Sumo Logic’ten Clawson, AI ve makine öğreniminin otomasyonu giderek daha fazla desteklemeye devam edeceğini söylüyor. Verileri işleyen ve tehditlere otomatik olarak yanıt veren AI güvenlik ajanları oluşturmanın henüz emekleme aşamasında olmasına rağmen, endüstrinin açıkça bu yönde ilerlediğini, özellikle de daha fazla altyapının “kod olarak” yaklaşımını, örneğin altyapı-kod olarak yaklaşımını kullandığını söylüyor.
Sonuç olarak SOAR’a olan ihtiyacı azaltan bir yaklaşım ortaya çıkabilir.
“Bu Copilot teknolojisine sahip olduğunuzda, ‘temsilcilik’ terimini duymuşsunuzdur, [where] Clawson, “Elinizin altında istediğiniz her şeyi yapabilen bir aracınız var — bu da SOAR’ın değerini azaltıyor” diyor. “Yapay zeka uzman bir kodlayıcı ve geliştirici olabileceği ve her API’ye ve tüm belgelere erişebileceği için, sistemlerle daha insani bir şekilde etkileşime girmeye hemen başlayabilirsiniz.”