改善安全態(tài)勢:安全人員需要持續(xù)監(jiān)控安全威脅和漏洞,并采取適當?shù)男袆觼斫鉀Q這些問題,改善組織的安全態(tài)勢;
增強可見性:安全人員需要了解組織安全態(tài)勢的完整視圖,了解組織的網(wǎng)絡、系統(tǒng)和應用程序正在發(fā)生什么;
優(yōu)化安全事件響應時間:企業(yè)需要更快地響應安全事件和威脅,并以更高效的方式處理這些事件;
更好的協(xié)同工作:安全運營中心需要協(xié)調(diào)組織的整體安全工作,包括安全政策和程序的實施和維護,安全技術的部署,以及安全最佳實踐方面的人員培訓。
改進合規(guī)性:安全運營中心通過提供結構化和文檔化的安全管理方法,來幫助組織滿足法規(guī)和合規(guī)性要求。
新一代SOC發(fā)展趨勢
一直以來,SOC都是幫助企業(yè)實現(xiàn)網(wǎng)絡安全體系化運營的最重要工具。基于以上對安全運營中心的建設需求,企業(yè)需要對正在應用的SOC技術進行諸多的優(yōu)化和改進。新一代SOC技術在2023年或將呈現(xiàn)出以下發(fā)展趨勢:
SecOps流程自動化
研究表明,90%的企業(yè)已經(jīng)計劃為實現(xiàn)自動化的安全防護進行投資。其中,一些企業(yè)開始嘗試使用提供自動化和AI功能的XDR解決方案。這些解決方案加強了企業(yè)在AI技術實現(xiàn)的能力,并將安全工程目前在組織中執(zhí)行的許多手動任務轉化成自動化的處理模式。
使用托管威脅檢測和響應服務
由于安全技術的快速發(fā)展,組織發(fā)現(xiàn)很難獲得、部署和培訓內(nèi)部團隊來操作它們。據(jù)ESG研究,85%的企業(yè)組織現(xiàn)在正在使用托管安全服務。企業(yè)一個最常見的選擇是托管檢測和響應(MDR),它允許組織部署先進的端點安全系統(tǒng),并通過外包安全專家的遠程SOC管理它們。
使用MITREATT&CK框架
數(shù)據(jù)顯示,89%的組織開始將MITREATT&CK框架用于各種安全操作用例,從了解網(wǎng)絡攻擊者策略、技術和流程到指導SOC成熟度評估。因此,安全運營團隊也需要使用MITREATT&CK框架來提供上下文威脅情報,以改進優(yōu)先級、根本原因分析和響應,并提高SOC應用的成熟度。
保障云應用安全
很明顯,云的使用在2023年將會增加。因此,擁有能夠相應擴展的安全工具和策略非常重要。為了利用云服務,企業(yè)必須應對不斷變化的云安全挑戰(zhàn),無論是現(xiàn)在還是將來。因此,新一代SOC需要能夠直接在云端操作,并與基于云的應用系統(tǒng)兼容。這使組織可以統(tǒng)一監(jiān)控云上應用程序、設備、服務器和端點,并提高云上系統(tǒng)運行日志的收集效率。
加強集成
為了提高運營和安全效率,新一代的SOC需要與更多的安全工具和系統(tǒng)協(xié)同工作并實現(xiàn)集成,包括安全編排自動化和響應(SOAR)、實時可視化工具、行為分析以及多數(shù)據(jù)來源的威脅情報。
智能化的威脅搜索
為了促進調(diào)查并提高檢測和應對威脅的能力,新一代SOC已經(jīng)在使用基于機器學習的工具。根據(jù)ESG的研究,超過一半(52%)的受訪企業(yè)表示會優(yōu)先考慮使用機器學習的新安全技術。此外,20%的企業(yè)正在試點機器學習項目,18%的企業(yè)計劃或有興趣部署機器學習進行威脅檢測和響應。
未來屬于開放式XDR?
雖然安全廠商不斷對現(xiàn)有的SOC方案進行優(yōu)化和改進,但最終的應用效果還需要實踐驗證。有研究人員認為,目前SOC產(chǎn)品的應用不足很難從根本上改變。
首先,數(shù)據(jù)管理效率低下將是現(xiàn)有SOC框架固有的缺點。主流SOC方案普遍缺少一種流暢的系統(tǒng)化流程,來實現(xiàn)高效的數(shù)據(jù)收集、存儲和關聯(lián),并確定海量數(shù)據(jù)分析的優(yōu)先級。一些廠商推出開箱即用的數(shù)據(jù)處理和優(yōu)先級確定機制,但它們還沒有證明其效果。
其次,手動工作在目前的SOC應用中依然必不可少,仍然需要由安全專家編寫相應的運營規(guī)則去人工配置。
此外,在確保SOC與組織常用的安全工具有效協(xié)同工作方面存在一些挑戰(zhàn),找到整合的方法并不困難,但可能很低效。而當不同廠商發(fā)布新版本更新時,很多協(xié)同問題也會隨之而來。
在此背景下,開放式XDR被認為是企業(yè)安全運營能力體系的一種有效補充,甚至可能會成為傳統(tǒng)SOC方案的一種替代。開放式XDR與SOC之間有一些相似之處,但采用了不同的技術體系框架,因此更容易實現(xiàn)多種安全能力的集成與協(xié)同。由于采用的方法和框架體系不一樣,開放式XDR具有了一些獨特的方法,能夠以傳統(tǒng)SOC無法實現(xiàn)的方式處理新型安全威脅。
開放式XDR對海量安全數(shù)據(jù)的處理分析將更有效率。它明確要求對數(shù)據(jù)先經(jīng)過統(tǒng)一的規(guī)范和提煉,然后存儲到數(shù)據(jù)湖或大數(shù)據(jù)處理系統(tǒng),這是目前的SOC方案難以實現(xiàn)的。由于收集和存儲的安全數(shù)據(jù)已經(jīng)過清理,開放式XDR得以最大限度地發(fā)揮人工智能的算法優(yōu)勢。
此外,開放式XDR可以借助不同的安全控制措施來應對諸多風險,并使用統(tǒng)一的控制界面來保障用戶應用體驗。它還使組織可以借助單一平臺,更便捷地使用UEBA、SOAR、NDR、EDR及其他新型安全工具。
