网络安全中绝对“热门”的趋势之一是安全运营中心(SOC)现代化。越来越多的证据表明,这不是一个组织是否会受到攻击的问题,而是一个组织何时以及如何受到攻击的问题。在此前提下,我们看到SOC将其使命的重点缩小为一个检测和响应组织,需要某些构建块来为未来的SOC做好准备。早些时候,我们谈到数据是SOC现代化的第一个构建块。数据是安全的命脉,因为它提供了来自广泛的内部和外部来源的上下文,包括系统、威胁、漏洞、身份等。当安全由数据驱动时,团队可以专注于相关的高优先级问题,做出最佳决策并采取正确的行动。数据驱动的安全性还提供了一个持续的反馈循环,使团队能够捕获和使用数据来改进未来的分析。第二个构建块基于数据,是一个开放的集成架构,可确保系统和工具可以协同工作,并且数据可以在整个基础架构中流动。来自ESG的JonOltsik在Twitter上强调了对这种架构的需求:“到2022年,业界将认识到XDR必须是一个开放且灵活的架构。”响应(XDR)成为一项关键能力,只有基于开放架构方法才能有效执行。开放性很重要,原因如下:没有清白的记录。团队分析所需的数据来自各种不同的技术、威胁源和其他第三方来源。最近的一项研究发现,平均而言,组织拥有超过45种不同的安全工具,这些工具在大多数情况下不会相互影响。随着时间的推移,随着不同的团队、预算和部门做出独立的决定,这种情况自然会发生。他们可能依赖少数“大供应商”来处理他们的大部分安全任务,但他们通常也使用同类最佳的供应商来进行大型供应商没有或不擅长的控制。还有团队仍然需要使用的本地工具的交易问题,至少在短期内完全过渡到云之前是这样。一些组织拥有需要内部集成的工具,这意味着他们需要一个API,以便他们可以编写自己的集成。一个开放的集成架构将解决所有这些场景:与当今的安全团队合作,实现与专有工具的集成,合并和收购(M&A)的发生。许多组织通过兼并和收购成长起来,而不是统一他们的安全技术以满足母组织的要求,他们维护独立的系统,至少在短期内是这样。组织还可以允许业务部门有一定的自主权来部署他们需要的工具来支持他们的独特需求。集成必须广泛,以涵盖企业在任何地方拥有的任何工具。新用例需要协作。未来的SOC必须能够处理正常操作和其他用例,包括威胁检测和监控、调查、事件响应和搜寻。支持这些用例需要团队和工具快速高效地协同工作。支持这些用例的数据、团队和工具分布在一个典型的组织中。具有双向集成的开放式架构使团队能够将用于分析和决策制定的数据和工具整合到一个通用的工作界面中。归根结底,这是关于更快地采取正确的行动。全面的响应需要超越一个文件或系统来查找整个组织的所有相关事件和数据。将各个点连接起来并结合其他智能进行情境化需要跨工具的深度集成,这样团队才能充分了解如何补救和响应事件。双向集成使数据能够流入和流出,立即自动将相关策略和命令发送回防御网格中的正确工具,以实现更快的响应。允许持续改进。迭代的双向集成支持从响应中捕获和存储数据的能力,以便随着时间的推移学习和改进。该团队能够在通用工作界面中共享评论和观察结果,以及在新数据可用时共享入站流量,这有助于SOC在威胁演变时继续加强检测和响应。未来的SOC必须是数据驱动的,因此系统和工具必须能够协同工作。一个开放的集成架构提供了对来自技术、威胁源和其他第三方来源的数据的最大访问,以及在做出决策时推动对这些技术采取行动的能力。然而,现代SOC还需要一个高效且有效的构建块——平衡自动化与人工参与的能力。
