缩写就算了,未来SOC真正需要的三个能力
每个领域都有其缩写词,但是网络安全领域可能有太多的缩写词。我们用这些缩写词来描述威胁来源,以及它们如何生效的,还会描述不同的安全团队、他们的证书、以及他们使用的工具。缩写本身没啥毛病,但是当它们被用于描述新兴的解决方案时,就会出现个有趣的现象——那个缩写会被作为下一个能解决所有安全问题的银色子弹技术。不过很可惜,这从来没有实现。
缩写和它们被期许的“价值”
追溯十年前Gartner定义的UTM:一种统一的安全产品,尤其适用于中小型企业,一般功能组会分为三个部分:防火墙/IPS/VPN、Web安全网关和信息传输安全。UTM理论上需要能满足网络线路中所需要的所有安全需求,但实际上并没有。然后,NGFW就出现了,能够定制化满足企业特殊需求——只不过,依然没有做到。
UTM和NGFW注重于对网络线路进行防御。但是,随着端点越来越多,关注点逐渐转向这个已经扩大的攻击面,业界随之转向EPP。那绕过了这些解决方案的威胁怎么办?这不就有了EDR吗?
最近比较火的缩写应该是XDR,意味着扩展检测与响应(Extended Detection and Response)。XDR最初的定义将其描述为基于EDR的一种新解决方案,“X”只是表示EDR的“扩展”或者“下一代”。但是其他我们还没怎么关注的“检测与响应”怎么办?比如说流量检测与响应(Network Detection and Response, NDR)和云检测与响应(Cloud Detection and Response, CDR)?XDR也应该要包括这些东西,还有几十种组织已经在他们环境中部署的安全工具。而这个系统还包括新出现的威胁检测调查和响应(Threat Detection, Investigation and Repsonse, TDIR)平台,用于解决SOC不仅需要检测与响应能力,还需要“调查”的需求。
XDR和之后各种“变体”的目的,都是对整个基础设施的检测与响应,包括所有的攻击来源、连接不同的供应商以及各种云端和本地部署的安全技术。那么,如何实现?XDR是一个目标方向,而不是一个解决方案;它只能用一个整体、结构化的解决方式。把它作为另一个银子弹技术,或者另一个带着新期许的缩写,都不过是历史的重演罢了。那样的XDR无法为SOC的效率有任何提升。
比起缩写词一波又一波的出现,我们面临的攻击才是更为持久不断的。那就先把缩写放在一边,把注意力放在更重要的一些事情上——比如SOC作为现代化进行检测和响应机构的使用情况。SOC的工作包括了告警追踪、防鱼叉式钓鱼、事件响应、威胁狩猎与威胁情报管理。
如果要让SOC更加有效,未来SOC还需要能够具备以下能力:
专注于数据
数据是安全的血液,因为它能从系统、威胁、脆弱性、身份等内部与外部的资源,提供广泛的上下文联系。当安全是数据驱动的时候,团队就能够有上下文关联,关注于更为相关的高优先级问题,从而进行最佳的决策并执行正确的操作。数据驱动的安全同样能够提供一个可持续的反馈循环,让团队能够存储和使用数据,以便提升未来的分析。
确保系统和工具能够协同
由于团队用于分析的数据会贯穿大部分组织,双向集成可以让团队将数据汇聚到一个共同的工作面。一个开放式的集成架构可以从技术、威胁信息和其他第三方资源提供大量的数据接入能力。它同样能让团队可以在进行决策后快速基于相关技术进行响应。
自动化与人类响应的平衡
提升团队能力最有效的方式是用自动化取代重复、低风险、又耗时的任务,并意识到现在依然需要人类的分析能力。非正常的且高影响的紧急调查最好让人类分析师带头处理,而自动化只是进行补充工作。在人类和机器相平衡的情况下,自动化确保团队总是有最合适的工具。
SOC不需要另一个缩写名词代替。他们真正需要的是那些能够让他们更快更全面,解决他们最重要工作的能力。这才是安全行业真正需要应许的东西,而且这只有通过正确的架构才能实现。
安全行业的新概念每年都在出现,不同的缩写词也是一个接一个地冒出来。但是,我们需要的是真正能够解决问题的方案,而不是一堆缩写词和空炒的概念。SOC在国内的落地相对艰难,原因包括了技术集成能力上的不足,以及人才的匮乏。对于技术集成能力的不足,我们需要的不仅仅是另一个好听的概念,而是真正能够打通各类安全能力协同的架构——是不止于概念与理论,真正能够落地并实践的架构。