社区编辑申请
注册/登录
缩写就算了,未来SOC真正需要的三个能力
安全 应用安全
SOC在国内的落地相对艰难,原因包括了技术集成能力上的不足,以及人才的匮乏。对于技术集成能力的不足,我们需要的不仅仅是另一个好听的概念,而是真正能够打通各类安全能力协同的架构——是不止于概念与理论,真正能够落地并实践的架构。

每个领域都有其缩写词,但是网络安全领域可能有太多的缩写词。我们用这些缩写词来描述威胁来源,以及它们如何生效的,还会描述不同的安全团队、他们的证书、以及他们使用的工具。缩写本身没啥毛病,但是当它们被用于描述新兴的解决方案时,就会出现个有趣的现象——那个缩写会被作为下一个能解决所有安全问题的银色子弹技术。不过很可惜,这从来没有实现。

缩写和它们被期许的“价值”

追溯十年前Gartner定义的UTM:一种统一的安全产品,尤其适用于中小型企业,一般功能组会分为三个部分:防火墙/IPS/VPN、Web安全网关和信息传输安全。UTM理论上需要能满足网络线路中所需要的所有安全需求,但实际上并没有。然后,NGFW就出现了,能够定制化满足企业特殊需求——只不过,依然没有做到。

UTM和NGFW注重于对网络线路进行防御。但是,随着端点越来越多,关注点逐渐转向这个已经扩大的攻击面,业界随之转向EPP。那绕过了这些解决方案的威胁怎么办?这不就有了EDR吗?

最近比较火的缩写应该是XDR,意味着扩展检测与响应(Extended Detection and Response)。XDR最初的定义将其描述为基于EDR的一种新解决方案,“X”只是表示EDR的“扩展”或者“下一代”。但是其他我们还没怎么关注的“检测与响应”怎么办?比如说流量检测与响应(Network Detection and Response, NDR)和云检测与响应(Cloud Detection and Response, CDR)?XDR也应该要包括这些东西,还有几十种组织已经在他们环境中部署的安全工具。而这个系统还包括新出现的威胁检测调查和响应(Threat Detection, Investigation and Repsonse, TDIR)平台,用于解决SOC不仅需要检测与响应能力,还需要“调查”的需求。

XDR和之后各种“变体”的目的,都是对整个基础设施的检测与响应,包括所有的攻击来源、连接不同的供应商以及各种云端和本地部署的安全技术。那么,如何实现?XDR是一个目标方向,而不是一个解决方案;它只能用一个整体、结构化的解决方式。把它作为另一个银子弹技术,或者另一个带着新期许的缩写,都不过是历史的重演罢了。那样的XDR无法为SOC的效率有任何提升。

从缩写转向用例

比起缩写词一波又一波的出现,我们面临的攻击才是更为持久不断的。那就先把缩写放在一边,把注意力放在更重要的一些事情上——比如SOC作为现代化进行检测和响应机构的使用情况。SOC的工作包括了告警追踪、防鱼叉式钓鱼、事件响应、威胁狩猎与威胁情报管理。

如果要让SOC更加有效,未来SOC还需要能够具备以下能力:

专注于数据

数据是安全的血液,因为它能从系统、威胁、脆弱性、身份等内部与外部的资源,提供广泛的上下文联系。当安全是数据驱动的时候,团队就能够有上下文关联,关注于更为相关的高优先级问题,从而进行最佳的决策并执行正确的操作。数据驱动的安全同样能够提供一个可持续的反馈循环,让团队能够存储和使用数据,以便提升未来的分析。

确保系统和工具能够协同

由于团队用于分析的数据会贯穿大部分组织,双向集成可以让团队将数据汇聚到一个共同的工作面。一个开放式的集成架构可以从技术、威胁信息和其他第三方资源提供大量的数据接入能力。它同样能让团队可以在进行决策后快速基于相关技术进行响应。

自动化与人类响应的平衡

提升团队能力最有效的方式是用自动化取代重复、低风险、又耗时的任务,并意识到现在依然需要人类的分析能力。非正常的且高影响的紧急调查最好让人类分析师带头处理,而自动化只是进行补充工作。在人类和机器相平衡的情况下,自动化确保团队总是有最合适的工具。

SOC不需要另一个缩写名词代替。他们真正需要的是那些能够让他们更快更全面,解决他们最重要工作的能力。这才是安全行业真正需要应许的东西,而且这只有通过正确的架构才能实现。

点评

安全行业的新概念每年都在出现,不同的缩写词也是一个接一个地冒出来。但是,我们需要的是真正能够解决问题的方案,而不是一堆缩写词和空炒的概念。SOC在国内的落地相对艰难,原因包括了技术集成能力上的不足,以及人才的匮乏。对于技术集成能力的不足,我们需要的不仅仅是另一个好听的概念,而是真正能够打通各类安全能力协同的架构——是不止于概念与理论,真正能够落地并实践的架构。

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-01-10 07:12:34

2020-07-05 08:01:44

SOC威胁检测漏洞

2020-08-10 16:20:06

XDR网络安全网络威胁

2012-12-12 22:00:07

Intel工艺:22nm

2021-03-11 07:54:31

人工智能SoC芯片

2017-12-28 09:31:35

SoC设计主流

同话题下的热门内容

关于Web渗透测试需要知道的一切:完整指南如何保护智能家居避免黑客攻击理解工作角色和选择网络安全职业的指南多家“巨头公司”遭受网络攻击,全球数百万用户信息恐遭泄露网络安全等级保护:测评机构业务范围和工作要求及风险控制如何在Node.js中防范跨站脚本攻击微软365网络钓鱼攻击中滥用Snapchat和Amex网站黑客攻击接连不断,多链区块链愿景还存在吗?

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号