,每一个都有它的缩写词,但是网络安全领域的缩写词可能太多了。我们使用这些首字母缩略词来描述威胁的来源及其工作方式,以及描述不同的安全团队、他们的凭据和他们使用的工具。首字母缩略词本身并没有错,但是当它们被用来描述一个新兴的解决方案时,一个有趣的现象发生了——首字母缩略词将成为解决所有安全问题的下一个灵丹妙药技术。不幸的是,这从未实现。缩略语及其预期“价值”追溯到十年前Gartner定义的UTM:统一的安全产品,特别适合中小企业,一般功能组会分为三部分:防火墙/IPS/VPN、Web安全网关和信息传输安全。UTM理论上需要能够满足网络电路中所需的所有安全要求,但实际上并不能。然后,NGFW出现了,可以定制满足企业的特殊需求——但还是没有做到。UTM和NGFW侧重于网络线路的防御。然而,随着端点数量的增加,焦点逐渐转移到这个扩大的攻击面,行业转向了EPP。绕过这些解决方案的威胁又如何呢?这个没有EDR吗?最近流行的缩写应该是XDR,意思是扩展检测和响应(ExtendedDetectionandResponse)。XDR最初的定义是将其描述为基于EDR的一种新的解决方案,而“X”只是对EDR的“扩展”或“下一代”的意思。但是其他我们没有过多关注的“检测与响应”呢?比如流量检测与响应(NetworkDetectionandResponse,NDR)和云检测与响应(CloudDetectionandResponse,CDR)?XDR还应该包括这些东西,以及组织已经在其环境中部署的数十种安全工具。而这套系统还包括新兴的威胁检测调查与响应(ThreatDetection,InvestigationandRepsonse,TDIR)平台,用于解决SOC不仅需要检测和响应能力,还需要“调查”的需求。XDR和各种后续“变体”的目的是检测和响应整个基础架构,包括所有攻击源、连接不同的供应商以及各种云和本地部署安全技术。那么,如何实现呢?XDR是一个目标方向,不是解决方案;它只能使用整体和结构化的解决方案。将其称为另一种灵丹妙药技术,或只是另一个具有新承诺的首字母缩写词,简直就是历史重演。这样的XDR并不能提高SOC的效率。从缩写词转移到用例是一种比首字母缩略词浪潮更持续的攻击。所以把首字母缩略词放在一边,专注于更重要的事情——比如使用SOC作为现代检测和响应机构。SOC的工作包括警报跟踪、反鱼叉式网络钓鱼、事件响应、威胁搜寻和威胁情报管理。如果SOC要更有效,未来的SOC还需要能够具备以下能力:关注数据数据是安全的血液,因为它可以提供来自内部和外部资源的广泛上下文连接,例如系统、威胁、漏洞和身份。当安全性由数据驱动时,团队能够根据具体情况并专注于更相关的高优先级问题,以做出最佳决策并执行正确的行动。数据驱动的安全性还提供了一个可持续的反馈循环,允许团队存储和使用数据来改进未来的分析。确保系统和工具协同工作由于团队用于分析的数据跨越组织的大部分,双向集成允许团队将数据集中到一个公共工作区中。开放的集成架构可以提供来自技术、威胁信息和其他第三方来源的海量数据访问能力。它还使团队能够在做出决策后基于相关技术快速做出响应。平衡自动化和人工响应增强团队能力的最有效方法是用自动化取代重复、低风险、耗时的任务,并认识到仍然需要人工分析能力。异常和高影响的紧急调查最好由人类分析师带头处理,自动化做补充工作。在人机平衡的情况下,自动化可确保团队始终拥有最合适的工具。SOC不需要另一个首字母缩略词。他们真正需要的是能够让他们更快、更全面地解决最重要工作的能力。这是安全行业真正需要承诺的,而且只有采用正确的架构才能实现。安防行业的新概念每年都在涌现,不同的缩写词层出不穷。然而,我们需要的是真正解决问题的方法,而不是一堆缩写词和空洞的概念。SOC在国内的实施相对困难,因为缺乏技术集成能力和人才。对于技术集成能力的缺失,我们需要的不仅仅是另一个美好的概念,而是一个真正能够打通各种安全能力协同的框架——一个不局限于概念和理论,而是真正能够落地和落地的框架。实行。
