信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”，由安全牛編譯整理。

隨著數(shù)字化轉(zhuǎn)型發(fā)展的不斷深入，一個(gè)技術(shù)先進(jìn)且功能齊全的安全運(yùn)營(yíng)中心已經(jīng)成為企業(yè)必須依靠的安全防線。2023年，企業(yè)對(duì)統(tǒng)一安全運(yùn)營(yíng)平臺(tái)（能力）的應(yīng)用需求仍將會(huì)不斷加大，主要包括。

改善安全態(tài)勢(shì)：安全人員需要持續(xù)監(jiān)控安全威脅和漏洞，并采取適當(dāng)?shù)男袆?dòng)來(lái)解決這些問(wèn)題，改善組織的安全態(tài)勢(shì)；

增強(qiáng)可見(jiàn)性：安全人員需要了解組織安全態(tài)勢(shì)的完整視圖，了解組織的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序正在發(fā)生什么；

優(yōu)化安全事件響應(yīng)時(shí)間：企業(yè)需要更快地響應(yīng)安全事件和威脅，并以更高效的方式處理這些事件；

更好的協(xié)同工作：安全運(yùn)營(yíng)中心需要協(xié)調(diào)組織的整體安全工作，包括安全政策和程序的實(shí)施和維護(hù)，安全技術(shù)的部署，以及安全最佳實(shí)踐方面的人員培訓(xùn)。

改進(jìn)合規(guī)性：安全運(yùn)營(yíng)中心通過(guò)提供結(jié)構(gòu)化和文檔化的安全管理方法，來(lái)幫助組織滿足法規(guī)和合規(guī)性要求。

新一代SOC發(fā)展趨勢(shì)

一直以來(lái)，SOC都是幫助企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)安全體系化運(yùn)營(yíng)的最重要工具?；谝陨蠈?duì)安全運(yùn)營(yíng)中心的建設(shè)需求，企業(yè)需要對(duì)正在應(yīng)用的SOC技術(shù)進(jìn)行諸多的優(yōu)化和改進(jìn)。新一代SOC技術(shù)在2023年或?qū)⒊尸F(xiàn)出以下發(fā)展趨勢(shì)：

SecOps流程自動(dòng)化

研究表明，90%的企業(yè)已經(jīng)計(jì)劃為實(shí)現(xiàn)自動(dòng)化的安全防護(hù)進(jìn)行投資。其中，一些企業(yè)開(kāi)始嘗試使用提供自動(dòng)化和AI功能的XDR解決方案。這些解決方案加強(qiáng)了企業(yè)在AI技術(shù)實(shí)現(xiàn)的能力，并將安全工程目前在組織中執(zhí)行的許多手動(dòng)任務(wù)轉(zhuǎn)化成自動(dòng)化的處理模式。

使用托管威脅檢測(cè)和響應(yīng)服務(wù)

由于安全技術(shù)的快速發(fā)展，組織發(fā)現(xiàn)很難獲得、部署和培訓(xùn)內(nèi)部團(tuán)隊(duì)來(lái)操作它們。據(jù)ESG研究，85%的企業(yè)組織現(xiàn)在正在使用托管安全服務(wù)。企業(yè)一個(gè)最常見(jiàn)的選擇是托管檢測(cè)和響應(yīng)（MDR），它允許組織部署先進(jìn)的端點(diǎn)安全系統(tǒng)，并通過(guò)外包安全專家的遠(yuǎn)程SOC管理它們。

使用MITRE ATT&CK框架

數(shù)據(jù)顯示，89%的組織開(kāi)始將MITRE ATT&CK框架用于各種安全操作用例，從了解網(wǎng)絡(luò)攻擊者策略、技術(shù)和流程到指導(dǎo)SOC成熟度評(píng)估。因此，安全運(yùn)營(yíng)團(tuán)隊(duì)也需要使用MITRE ATT&CK框架來(lái)提供上下文威脅情報(bào)，以改進(jìn)優(yōu)先級(jí)、根本原因分析和響應(yīng)，并提高SOC應(yīng)用的成熟度。

保障云應(yīng)用安全

很明顯，云的使用在2023年將會(huì)增加。因此，擁有能夠相應(yīng)擴(kuò)展的安全工具和策略非常重要。為了利用云服務(wù)，企業(yè)必須應(yīng)對(duì)不斷變化的云安全挑戰(zhàn)，無(wú)論是現(xiàn)在還是將來(lái)。因此，新一代SOC需要能夠直接在云端操作，并與基于云的應(yīng)用系統(tǒng)兼容。這使組織可以統(tǒng)一監(jiān)控云上應(yīng)用程序、設(shè)備、服務(wù)器和端點(diǎn)，并提高云上系統(tǒng)運(yùn)行日志的收集效率。

加強(qiáng)集成

為了提高運(yùn)營(yíng)和安全效率，新一代的SOC需要與更多的安全工具和系統(tǒng)協(xié)同工作并實(shí)現(xiàn)集成，包括安全編排自動(dòng)化和響應(yīng)（SOAR）、實(shí)時(shí)可視化工具、行為分析以及多數(shù)據(jù)來(lái)源的威脅情報(bào)。

智能化的威脅搜索

為了促進(jìn)調(diào)查并提高檢測(cè)和應(yīng)對(duì)威脅的能力，新一代SOC已經(jīng)在使用基于機(jī)器學(xué)習(xí)的工具。根據(jù)ESG的研究，超過(guò)一半（52%）的受訪企業(yè)表示會(huì)優(yōu)先考慮使用機(jī)器學(xué)習(xí)的新安全技術(shù)。此外，20%的企業(yè)正在試點(diǎn)機(jī)器學(xué)習(xí)項(xiàng)目，18%的企業(yè)計(jì)劃或有興趣部署機(jī)器學(xué)習(xí)進(jìn)行威脅檢測(cè)和響應(yīng)。

未來(lái)屬于開(kāi)放式XDR？

雖然安全廠商不斷對(duì)現(xiàn)有的SOC方案進(jìn)行優(yōu)化和改進(jìn)，但最終的應(yīng)用效果還需要實(shí)踐驗(yàn)證。有研究人員認(rèn)為，目前SOC產(chǎn)品的應(yīng)用不足很難從根本上改變。

首先，數(shù)據(jù)管理效率低下將是現(xiàn)有SOC框架固有的缺點(diǎn)。主流SOC方案普遍缺少一種流暢的系統(tǒng)化流程，來(lái)實(shí)現(xiàn)高效的數(shù)據(jù)收集、存儲(chǔ)和關(guān)聯(lián)，并確定海量數(shù)據(jù)分析的優(yōu)先級(jí)。一些廠商推出開(kāi)箱即用的數(shù)據(jù)處理和優(yōu)先級(jí)確定機(jī)制，但它們還沒(méi)有證明其效果。

其次，手動(dòng)工作在目前的SOC應(yīng)用中依然必不可少，仍然需要由安全專家編寫相應(yīng)的運(yùn)營(yíng)規(guī)則去人工配置。

此外，在確保SOC與組織常用的安全工具有效協(xié)同工作方面存在一些挑戰(zhàn)，找到整合的方法并不困難，但可能很低效。而當(dāng)不同廠商發(fā)布新版本更新時(shí)，很多協(xié)同問(wèn)題也會(huì)隨之而來(lái)。

在此背景下，開(kāi)放式XDR被認(rèn)為是企業(yè)安全運(yùn)營(yíng)能力體系的一種有效補(bǔ)充，甚至可能會(huì)成為傳統(tǒng)SOC方案的一種替代。開(kāi)放式XDR與SOC之間有一些相似之處，但采用了不同的技術(shù)體系框架，因此更容易實(shí)現(xiàn)多種安全能力的集成與協(xié)同。由于采用的方法和框架體系不一樣，開(kāi)放式XDR具有了一些獨(dú)特的方法，能夠以傳統(tǒng)SOC無(wú)法實(shí)現(xiàn)的方式處理新型安全威脅。

開(kāi)放式XDR對(duì)海量安全數(shù)據(jù)的處理分析將更有效率。它明確要求對(duì)數(shù)據(jù)先經(jīng)過(guò)統(tǒng)一的規(guī)范和提煉，然后存儲(chǔ)到數(shù)據(jù)湖或大數(shù)據(jù)處理系統(tǒng)，這是目前的SOC方案難以實(shí)現(xiàn)的。由于收集和存儲(chǔ)的安全數(shù)據(jù)已經(jīng)過(guò)清理，開(kāi)放式XDR得以最大限度地發(fā)揮人工智能的算法優(yōu)勢(shì)。

此外，開(kāi)放式XDR可以借助不同的安全控制措施來(lái)應(yīng)對(duì)諸多風(fēng)險(xiǎn)，并使用統(tǒng)一的控制界面來(lái)保障用戶應(yīng)用體驗(yàn)。它還使組織可以借助單一平臺(tái)，更便捷地使用UEBA、SOAR、NDR、EDR及其他新型安全工具。