所有用于计算风险管理的“公式”往往有5个组成部分:安全事件发生的可能性;事件的影响;实体/资产的价值;实体/资产价值的脆弱性;对实体/资产的威胁。这5种类型的信息用于决定在组织中的何处以及如何采取风险缓解措施。网络安全规划和战略考虑了这些因素。业务经理帮助确定实体/资产的价值以及这些实体/资产降级、被盗或不可用时的影响。安全、IT和风险团队就实体/资产离线事件的可能性进行协作。最后,安全团队在威胁和漏洞管理方面与IT运营协作。扩展检测和响应(XDR)的出现是过去几年安全技术在威胁管理方面发生巨大变化的一种体现。提高安全性和运营效率的需求催生了XDR的技术架构。其技术原理是基于统一的数据源、可见性和分析,更好地预防、检测和响应威胁。随着XDR的发展,业界已经意识到整合各种数据和工具在威胁管理中的重要性。例如能够发现所有实体/资产(用户、账户、应用程序、系统、敏感数据),查看所有实体/资产之间的关系,了解所有实体/资产的安全态势(软件配置文件、配置状态、诚信、遵守公司政策等)。这些信息是网络安全决策的基础,包括风险缓解、安全需求、如何使用预算等等。如果没有全面的可见性,安全决策就会变成安全猜测。SOPV:SecurityObservation,Priority,andVerification在融合融合的大趋势下,有可能将以下几个独立的安全技术组合起来形成一个架构,也就是本文所讨论的SOPV,SecurityObservation,PriorityAndverification.其中,包括以下技术:1.漏洞管理。和杀毒一样,漏洞管理虽然存在各种问题(比如总是被动、新漏洞不断出现、补丁层出不穷),但它也是最基本的安全措施。2.资产管理。即通过API从CMDB(配置管理数据库)、漏洞管理、端点管理工具等各种系统中收集信息。目标是提供更全面的实体/资产及其态势列表。3.攻击面管理(ASM)。漏洞管理和资产管理系统无法扫描或收集未知的资产信息,互联网上不断增加的暴露面(如域名、IP地址、SSL证书、用户凭据等)加剧了这一问题。4.云安全态势管理(CSPM)。CSPM提供对云工作负载的深入可见性,也将成为SOPV架构的重要组成部分。5.风险评分系统。虽然全面了解所有实体/资产很重要,但没有人希望安全团队被数据淹没。相反,收集尽可能多的数据的目的是用于分析并给出风险级别评分,以帮助组织做出正确的风险缓解决策。6.连续自动渗透和攻击测试(CAPAT)。相信Gartner的人称之为入侵和攻击模拟(BAS),旨在从攻击者的角度验证各种检测、分析和保护工具的有效性。例如,一个风险评分系统可能认为一个实体/资产是低风险的,但BAS验证该资产实际上可以被攻击者利用来破坏关键业务系统。就像XDR的出现一样,向SOPV的演进也是必然的,因为现有的安全管理工具和流程不仅复杂不完善,而且成本高,效果也不理想。一些安全供应商已经在朝着SOPV的方向发展。思科收购了风险评分领导者KennaSecurity,微软收购了RiskIQ,PaloAltoNetworks收购了ASM供应商Expanse,FireEye收购了CAPAT播放器Verodin。此外,漏洞管理的三大巨头Qualys、Rapid7和Tenable也在朝着这个方向努力。SOPV还需要什么?1.和XDR一样,SOPV是一个架构而不是很多产品的集合。因此,SOPV的成功将取决于标准的数据格式、开放的API和行业合作。2、除了上面强调的几种技术,SOPV还需要打通身份和访问管理系统(IAM),了解用户、账户、访问权限等,还需要一些数据发现和分类功能。3.必须理解实体/资产之间的关系,才能真正有效地理解漏洞,理解攻击者如何利用一个实体/资产攻击另一个实体/资产。4.SOPV还需要可见性和对安全控制的深刻理解。这是需要CAPAT技术的主要原因。5.最后,无论是SOPV还是XDR,流程自动化和安全闭环都是成功的必要因素。评论SOPV是研究机构ESG最近提出的一个概念。与两年前态势感知时代提出的SOAPA(SecurityOperationsandAnalysisPlatformArchitecture)一样,ESG倾向于提出涵盖“所有”功能的统一架构/平台。这些概念虽然有统一的背景、趋势和需求,但实际上缺乏内在的技术逻辑,更倾向于功能的简单堆积。总之,SOPV力求大而全,而XDR正是因为不能大而全(态势感知),所以退一步专注于探测和响应的权宜之计,更符合现实。不过,SOPV所强调的“综合性、集成性、自动化、验证性”的理念还是值得借鉴的。
