日前，谷歌称收购了安全编排、自动化和响应（ SOAR ）供应商 Siemplify ，将这项安全功能收入囊中。据报道， Siemplify 之前筹到了 5800 万美元的风险投资，谷歌斥资 5 亿美元收购了该公司，但双方均未披露交易的财务条款。分析师们认为，这宗交易预示着独立 SOAR 市场和安全信息与事件管理（ SIEM ）市场将迎来变局。

Siemplify 成立于 2015 年，它声称提供的 SOAR 平台可以实现端到端管理、更迅捷的威胁响应以及跨工作流程的可见性，从而提升安全运营中心的性能。这家供应商在 2020 年推出一款云原生 SOAR 平台。谷歌计划将 Siemplify 整合到 Chronicle 安全分析平台中。Chronicle 是一家网络安全公司，起初是谷歌母公司 Alphabet X 研究实验室的一部分，随后成为一家独立公司。在 2019 年与姊妹公司谷歌云合并，它在 2019 年发布云原生 SIEM 平台 Backstory ，并与其他供应商在 SOAR 功能方面展开合作。

研究公司 Forrester 分析师 Allie Mellen 表示：“实际上自一开始， SOAR 工具对谷歌的 Chronicle 产品而言就一直是缺失环节，因为其他安全分析平台早在 2017 年就开始直接整合了 SOAR 。”谷歌云安全副总裁兼总经理 Sunil Potti 表示：“此次收购 Siemplify ，将通过 SOAR 帮助企业实现安全运营的现代化和自动化。”

独立 SOAR 将如何发展？

Mellen 称， Siemplify 是少数几家独立 SOAR 供应商之一，其他供应商不是被 SIEM 供应商收购，就是使用威胁情报平台等其他产品壮大各自的产品组合。Forrester 分析师在去年就预测， SOAR 市场无法独自存在。而现在谷歌收购 Siemplify 是一宗“令人兴奋的收购，标志着独立 SOAR 走到头了，或者坦率地说，标志着 SIEM 走到头了。” Mellen 补充道， SIEM 市场已转向更全面的安全分析平台，将 SIEM 、 SOAR 和安全用户行为分析（ SUBA ）整合到单一产品中。

ZK Research 创始人兼首席分析师 Zeus Kerravala 同意这一观点，他认为：“安全变得更受人工智能驱动，而这需要端到端视图，即全面了解情况，而 SOAR 和 SIEM 的应用范围仅限于响应威胁，孤岛带来了大片盲区。”

独立 SOAR 供应商 Swimlane 首席执行官 James Brear 并不同意这一预测，他表示：“谷歌收购 Siemplify 证明了用户对安全自动化和 SOAR 的需求不断升级。同时也证明了市场需要这种自动化，因为它可以轻松融入到任何组织的现有基础架构中，而不仅仅是安全供应商规定的那些需求。”

谷歌着眼于超越典型的 XDR

这宗收购还表明，安全团队在寻找“一个统一的安全管理平台，他们可以从检测、调查到响应编排的整个事件响应生命周期中使用该平台，” Mellen 说。扩展检测和响应（ XDR ）就是个典例，这种统一平台把 SOAR 、 SIEM 、端点检测和响应（ EDR ）以及网络流量分析（ NTA ）的功能特性结合到软件即服务（ SaaS ）平台中，实现安全数据和事件响应的集中管理。

Kerravala 表示：“ SOAR 和 SIEM 需要成为更广泛的 XDR 战略的一部分，我预计这是谷歌的目标。”最近，谷歌在 XDR 领域一直动作不断。去年5月，它与 CrowdStrike 合作，在谷歌安全产品和 CrowdStrike 的 Falcon 平台之间共享遥测信息和数据。当时， Potti 称之为“超越 XDR ”。10 月下旬，这家云计算巨头又宣布与 CrowdStrike 、派拓网络和 Cybereason 建立 XDR 合作伙伴关系。12 月， Cybereason 推出由谷歌 Chronicle 提供支持的 XDR 平台。

收购 Siemplify 的交易进一步夯实了谷歌的“超越 XDR ”战略。Potti 进一步表示，谷歌在现代威胁管理架构方面的愿景是，让客户能够超越典型的 SIEM 和 XDR 工具，“实现更好的检测和响应，同时满足现代环境对速度和规模的需求，提供成熟的 SOAR 功能，并结合 Chronicle 创新的安全分析方法，是我们为实现愿景而迈出的重要一步。”

参考链接：

https://www.sdxcentral.com/articles/news/does-google-clouds-siemplify-buy-signal-the-end-of-standalone-soar/2022/01/