随着数字化转型的不断深入,技术先进、功能完善的安全运营中心成为企业必须依赖的安全防线。2023年,企业对统一安全运营平台(能力)的应用需求将不断增加,主要包括:改善安全态势:安全人员需要持续监控安全威胁和漏洞,并采取适当措施解决这些问题,从而改善组织的安全态势;增强可见性:安全人员需要了解组织安全态势的完整视图,了解组织的网络、系统和应用程序正在发生什么;优化安全事件响应时间:企业需要更快地响应安全事件和威胁,并以更高效的方式处理这些事件;更好地合作:安全运营中心需要协调组织的整体安全工作,包括安全策略和程序的实施和维护、安全技术的部署以及安全最佳实践方面的人员培训。提高合规性:安全运营中心通过提供结构化和文档化的安全管理方法来帮助组织满足法规和合规性要求。新一代SOC的发展趋势一直是帮助企业实现网络安全系统化运营的最重要工具。基于以上对安全运营中心建设的需求,企业需要对所应用的SOC技术进行优化和完善。新一代SOC技术在2023年可能呈现以下发展趋势:SecOps流程自动化研究表明,90%的企业已计划投资自动化安全防护。其中,一些企业开始尝试提供自动化和AI能力的XDR解决方案。这些解决方案增强了企业实施人工智能技术的能力,将组织中目前安全工程的许多手工任务转变为自动化处理模式。使用托管威胁检测和响应服务由于安全技术的快速发展,组织发现很难获得、部署和培训内部团队来操作它们。根据ESG研究,85%的企业组织现在都在使用托管安全服务。企业最常见的选择之一是托管检测和响应(MDR),它允许组织部署高级端点安全系统并通过远程SOC与外包安全专家一起管理它们。使用MITREATT&CK框架数据显示,89%的组织开始将MITREATT&CK框架用于各种安全操作用例,从了解网络攻击者的策略、技术和流程到指导SOC成熟度评估。因此,安全运营团队还需要使用MITREATT&CK框架来提供上下文威胁情报,以改进优先级排序、根本原因分析和响应,并提高SOC应用程序的成熟度。保护云应用程序很明显,云的使用将在2023年增加。因此,拥有相应扩展的安全工具和策略非常重要。为了利用云服务,企业必须应对现在和未来不断变化的云安全挑战。因此,下一代SOC需要能够直接在云端运行,并兼容基于云端的应用系统。这使得组织可以统一监控云上的应用程序、设备、服务器和端点,并提高收集云上系统操作日志的效率。增强集成为了提高运营和安全效率,下一代SOC需要与更多安全工具和系统协同工作并与之集成,包括安全编排自动化和响应(SOAR)、实时可视化工具、行为分析以及来自多个数据的威胁来源情报。智能威胁搜寻为了促进调查并提高检测和响应威胁的能力,下一代SOC已经在使用基于机器学习的工具。根据ESG研究,超过一半(52%)的受访公司表示,他们将优先考虑使用机器学习的新安全技术。此外,20%的组织正在试点机器学习项目,18%的组织计划或有兴趣部署机器学习以进行威胁检测和响应。未来属于开放XDR?尽管安全厂商不断优化和改进现有的SOC方案,但最终的应用效果仍需在实践中进行验证。有研究者认为,很难从根本上改变SOC产品应用不足的现状。首先,数据管理效率低下将是现有SOC框架的固有缺点。主流的SOC解决方案普遍缺乏流畅、系统的流程来实现高效的数据采集、存储和关联,以及确定海量数据分析的优先级。一些供应商提供开箱即用的数据处理和优先级排序机制,但它们尚未证明其有效性。其次,在目前的SOC应用中,手动工作仍然不可或缺,安全专家仍然需要编写相应的操作规则进行手动配置。此外,在确保SOC与组织常用的安全工具有效协作方面也存在一些挑战。寻找整合的方法并不困难,但可能是无效的。而当不同厂商发布新的版本更新时,很多协调问题也会随之而来。在此背景下,开放式XDR被认为是对企业安全运营能力体系的有效补充,甚至有可能成为传统SOC解决方案的替代品。OpenXDR和SOC有一些相似之处,但它们采用不同的技术体系框架,因此更容易实现多种安全能力的融合和协调。由于采用的方法和框架体系不同,开放式XDR具有一些独特的方法,可以以传统SOC无法实现的方式应对新的安全威胁。OpenXDR将更高效地处理和分析海量安全数据。明确要求将数据统一标准化、细化后,再存储到数据湖或大数据处理系统中,而这在目前的SOC方案中是很难做到的。由于对收集和存储的安全数据进行了清洗,OpenXDR能够最大限度地发挥人工智能的算法优势。此外,开放式XDR可以使用不同的安全控制措施来应对诸多风险,并使用统一的控制接口来保证用户的应用体验。它还使组织能够更轻松地从单一平台使用UEBA、SOAR、NDR、EDR和其他新的安全工具。
