本文來自微信公眾號“安全牛”,由安全牛編譯整理。
隨著數(shù)字化轉(zhuǎn)型發(fā)展的不斷深入,一個技術(shù)先進(jìn)且功能齊全的安全運(yùn)營中心已經(jīng)成為企業(yè)必須依靠的安全防線。2023年,企業(yè)對統(tǒng)一安全運(yùn)營平臺(能力)的應(yīng)用需求仍將會不斷加大,主要包括。
改善安全態(tài)勢:安全人員需要持續(xù)監(jiān)控安全威脅和漏洞,并采取適當(dāng)?shù)男袆觼斫鉀Q這些問題,改善組織的安全態(tài)勢;
增強(qiáng)可見性:安全人員需要了解組織安全態(tài)勢的完整視圖,了解組織的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序正在發(fā)生什么;
優(yōu)化安全事件響應(yīng)時間:企業(yè)需要更快地響應(yīng)安全事件和威脅,并以更高效的方式處理這些事件;
更好的協(xié)同工作:安全運(yùn)營中心需要協(xié)調(diào)組織的整體安全工作,包括安全政策和程序的實施和維護(hù),安全技術(shù)的部署,以及安全最佳實踐方面的人員培訓(xùn)。
改進(jìn)合規(guī)性:安全運(yùn)營中心通過提供結(jié)構(gòu)化和文檔化的安全管理方法,來幫助組織滿足法規(guī)和合規(guī)性要求。
新一代SOC發(fā)展趨勢
一直以來,SOC都是幫助企業(yè)實現(xiàn)網(wǎng)絡(luò)安全體系化運(yùn)營的最重要工具?;谝陨蠈Π踩\(yùn)營中心的建設(shè)需求,企業(yè)需要對正在應(yīng)用的SOC技術(shù)進(jìn)行諸多的優(yōu)化和改進(jìn)。新一代SOC技術(shù)在2023年或?qū)⒊尸F(xiàn)出以下發(fā)展趨勢:
SecOps流程自動化
研究表明,90%的企業(yè)已經(jīng)計劃為實現(xiàn)自動化的安全防護(hù)進(jìn)行投資。其中,一些企業(yè)開始嘗試使用提供自動化和AI功能的XDR解決方案。這些解決方案加強(qiáng)了企業(yè)在AI技術(shù)實現(xiàn)的能力,并將安全工程目前在組織中執(zhí)行的許多手動任務(wù)轉(zhuǎn)化成自動化的處理模式。
使用托管威脅檢測和響應(yīng)服務(wù)
由于安全技術(shù)的快速發(fā)展,組織發(fā)現(xiàn)很難獲得、部署和培訓(xùn)內(nèi)部團(tuán)隊來操作它們。據(jù)ESG研究,85%的企業(yè)組織現(xiàn)在正在使用托管安全服務(wù)。企業(yè)一個最常見的選擇是托管檢測和響應(yīng)(MDR),它允許組織部署先進(jìn)的端點安全系統(tǒng),并通過外包安全專家的遠(yuǎn)程SOC管理它們。
使用MITRE ATT&CK框架
數(shù)據(jù)顯示,89%的組織開始將MITRE ATT&CK框架用于各種安全操作用例,從了解網(wǎng)絡(luò)攻擊者策略、技術(shù)和流程到指導(dǎo)SOC成熟度評估。因此,安全運(yùn)營團(tuán)隊也需要使用MITRE ATT&CK框架來提供上下文威脅情報,以改進(jìn)優(yōu)先級、根本原因分析和響應(yīng),并提高SOC應(yīng)用的成熟度。
保障云應(yīng)用安全
很明顯,云的使用在2023年將會增加。因此,擁有能夠相應(yīng)擴(kuò)展的安全工具和策略非常重要。為了利用云服務(wù),企業(yè)必須應(yīng)對不斷變化的云安全挑戰(zhàn),無論是現(xiàn)在還是將來。因此,新一代SOC需要能夠直接在云端操作,并與基于云的應(yīng)用系統(tǒng)兼容。這使組織可以統(tǒng)一監(jiān)控云上應(yīng)用程序、設(shè)備、服務(wù)器和端點,并提高云上系統(tǒng)運(yùn)行日志的收集效率。
加強(qiáng)集成
為了提高運(yùn)營和安全效率,新一代的SOC需要與更多的安全工具和系統(tǒng)協(xié)同工作并實現(xiàn)集成,包括安全編排自動化和響應(yīng)(SOAR)、實時可視化工具、行為分析以及多數(shù)據(jù)來源的威脅情報。
智能化的威脅搜索
為了促進(jìn)調(diào)查并提高檢測和應(yīng)對威脅的能力,新一代SOC已經(jīng)在使用基于機(jī)器學(xué)習(xí)的工具。根據(jù)ESG的研究,超過一半(52%)的受訪企業(yè)表示會優(yōu)先考慮使用機(jī)器學(xué)習(xí)的新安全技術(shù)。此外,20%的企業(yè)正在試點機(jī)器學(xué)習(xí)項目,18%的企業(yè)計劃或有興趣部署機(jī)器學(xué)習(xí)進(jìn)行威脅檢測和響應(yīng)。
未來屬于開放式XDR?
雖然安全廠商不斷對現(xiàn)有的SOC方案進(jìn)行優(yōu)化和改進(jìn),但最終的應(yīng)用效果還需要實踐驗證。有研究人員認(rèn)為,目前SOC產(chǎn)品的應(yīng)用不足很難從根本上改變。
首先,數(shù)據(jù)管理效率低下將是現(xiàn)有SOC框架固有的缺點。主流SOC方案普遍缺少一種流暢的系統(tǒng)化流程,來實現(xiàn)高效的數(shù)據(jù)收集、存儲和關(guān)聯(lián),并確定海量數(shù)據(jù)分析的優(yōu)先級。一些廠商推出開箱即用的數(shù)據(jù)處理和優(yōu)先級確定機(jī)制,但它們還沒有證明其效果。
其次,手動工作在目前的SOC應(yīng)用中依然必不可少,仍然需要由安全專家編寫相應(yīng)的運(yùn)營規(guī)則去人工配置。
此外,在確保SOC與組織常用的安全工具有效協(xié)同工作方面存在一些挑戰(zhàn),找到整合的方法并不困難,但可能很低效。而當(dāng)不同廠商發(fā)布新版本更新時,很多協(xié)同問題也會隨之而來。
在此背景下,開放式XDR被認(rèn)為是企業(yè)安全運(yùn)營能力體系的一種有效補(bǔ)充,甚至可能會成為傳統(tǒng)SOC方案的一種替代。開放式XDR與SOC之間有一些相似之處,但采用了不同的技術(shù)體系框架,因此更容易實現(xiàn)多種安全能力的集成與協(xié)同。由于采用的方法和框架體系不一樣,開放式XDR具有了一些獨(dú)特的方法,能夠以傳統(tǒng)SOC無法實現(xiàn)的方式處理新型安全威脅。
開放式XDR對海量安全數(shù)據(jù)的處理分析將更有效率。它明確要求對數(shù)據(jù)先經(jīng)過統(tǒng)一的規(guī)范和提煉,然后存儲到數(shù)據(jù)湖或大數(shù)據(jù)處理系統(tǒng),這是目前的SOC方案難以實現(xiàn)的。由于收集和存儲的安全數(shù)據(jù)已經(jīng)過清理,開放式XDR得以最大限度地發(fā)揮人工智能的算法優(yōu)勢。
此外,開放式XDR可以借助不同的安全控制措施來應(yīng)對諸多風(fēng)險,并使用統(tǒng)一的控制界面來保障用戶應(yīng)用體驗。它還使組織可以借助單一平臺,更便捷地使用UEBA、SOAR、NDR、EDR及其他新型安全工具。