安全运营中心 (SOC) 现代化。越来越多的证据表明,这不是一个攻击问题,而是何时和如何攻击一个组织。有了这个前提,我们可以看到 SOC 缩小了他们成为检测和响应组织使命的重点,需要一些建筑块来做未来 SOC做好准备。
之前说数据是 SOC 现代化的第一个建筑块。数据是安全的命脉,因为它提供了广泛的内部和外部来源,包括系统、威胁、漏洞、身份等。当安全由数据驱动时,团队可以专注于相关的高优先级问题,做出最佳决策,并采取正确的行动。数据驱动的安全性也提供了一个持续的反馈周期,允许团队捕获和使用数据来改进未来的分析。
第二个构建块是基于数据的,是一个开放的集成架构,可以确保系统和工具能够协同工作,数据可以在整个基础设施中流动。ESG的Jon Oltsik 在推特上强调了对这种结构的需求:到2022年,行业将认识到 XDR 必须是一个开放灵活的结构。SOC 成为检测和响应组织,扩展检测和响应 (XDR) 成为关键能力,只有基于开放式架构方法才能有效实施。
原因如下:
没有干净的石板。团队分析所需的数据来自各种不同的技术、威胁来源和其他第三方来源。最近的一项研究发现,在大多数情况下,组织拥有45多种不同的安全工具。随着时间的推移,不同的团队、预算和部门自然会做出独立的决定。他们可能会依靠少数大供应商来处理大部分的安全任务,但他们通常使用类似的最佳供应商来控制大供应商没有或不擅长的控制。还有交易问题,使用团队仍然需要使用的本地工具,至少在短期内完全过渡到云之前。一些组织有需要内部集成的工具,这意味着他们需要 API 这样他们就可以写下自己的集成。一个开放的集成架构将解决所有这些场景:与当今的安全团队合作,实现与专有工具的集成,
并购(M&A)发生。许多组织通过并购而不是统一其安全技术来满足上级组织的要求,至少在短期内保持独立的系统。该组织还可以允许业务部门有一定的自主权来部署他们需要的工具来支持他们的独特需求。集成必须广泛,以覆盖企业在任何地方拥有的任何工具。
新用例需要合作。未来的 SOC 必须能够处理正常操作和其他用例,包括威胁检测和监控、调查、事件响应和搜索。对这些用例的支持需要团队和工具的快速和有效的协调。支持这些用例的数据、团队和工具遍布整个典型组织。双向集成的开放架构使团队能够将数据和工具集成在一起,进行分析和决策,形成共同的工作界面。
最后,更快地采取正确的行动。全面响应需要超过一个文件或系统来查找整个组织中的所有相关事件和数据。通过额外的智能连接这些点,需要跨工具的深度集成,以便团队能够充分了解如何补救和响应事件。双向集成使数据流入和流出,并自动将相关策略和命令发送回防御网格中的正确工具,以加快响应速度。
允许持续改进。循环和双向集成支持从响应中捕获和存储数据的能力,以便随着时间的推移学习和改进。团队在公共工作界面上分享评论和观察的能力,以及新数据可用时的入口流量,有助于 SOC 随着威胁的发展,检测和响应不断加强。
未来的 SOC 必须由数据驱动,因此系统和工具必须能够协同工作。开放式集成架构为技术、威胁源和其他第三方来源的数据提供了最大的访问权限,并在做出决定后促进这些技术的行动。然而,现代 SOC 还需要高效有效地构建模块——平衡自动化和人工参与的能力。