改善安全态势:安全人员需要持续监控安全威胁和漏洞,并采取适当的行动来解决这些问题,改善组织的安全态势;
增强可见性:安全人员需要了解组织安全态势的完整视图,了解组织的网络、系统和应用程序正在发生什么;
优化安全事件响应时间:企业需要更快地响应安全事件和威胁,并以更高效的方式处理这些事件;
更好的协同工作:安全运营中心需要协调组织的整体安全工作,包括安全政策和程序的实施和维护,安全技术的部署,以及安全最佳实践方面的人员培训。
改进合规性:安全运营中心通过提供结构化和文档化的安全管理方法,来帮助组织满足法规和合规性要求。
新一代SOC发展趋势
一直以来,SOC都是帮助企业实现网络安全体系化运营的最重要工具。基于以上对安全运营中心的建设需求,企业需要对正在应用的SOC技术进行诸多的优化和改进。新一代SOC技术在2023年或将呈现出以下发展趋势:
SecOps流程自动化
研究表明,90%的企业已经计划为实现自动化的安全防护进行投资。其中,一些企业开始尝试使用提供自动化和AI功能的XDR解决方案。这些解决方案加强了企业在AI技术实现的能力,并将安全工程目前在组织中执行的许多手动任务转化成自动化的处理模式。
使用托管威胁检测和响应服务
由于安全技术的快速发展,组织发现很难获得、部署和培训内部团队来操作它们。据ESG研究,85%的企业组织现在正在使用托管安全服务。企业一个最常见的选择是托管检测和响应(MDR),它允许组织部署先进的端点安全系统,并通过外包安全专家的远程SOC管理它们。
使用MITREATT&CK框架
数据显示,89%的组织开始将MITREATT&CK框架用于各种安全操作用例,从了解网络攻击者策略、技术和流程到指导SOC成熟度评估。因此,安全运营团队也需要使用MITREATT&CK框架来提供上下文威胁情报,以改进优先级、根本原因分析和响应,并提高SOC应用的成熟度。
保障云应用安全
很明显,云的使用在2023年将会增加。因此,拥有能够相应扩展的安全工具和策略非常重要。为了利用云服务,企业必须应对不断变化的云安全挑战,无论是现在还是将来。因此,新一代SOC需要能够直接在云端操作,并与基于云的应用系统兼容。这使组织可以统一监控云上应用程序、设备、服务器和端点,并提高云上系统运行日志的收集效率。
加强集成
为了提高运营和安全效率,新一代的SOC需要与更多的安全工具和系统协同工作并实现集成,包括安全编排自动化和响应(SOAR)、实时可视化工具、行为分析以及多数据来源的威胁情报。
智能化的威胁搜索
为了促进调查并提高检测和应对威胁的能力,新一代SOC已经在使用基于机器学习的工具。根据ESG的研究,超过一半(52%)的受访企业表示会优先考虑使用机器学习的新安全技术。此外,20%的企业正在试点机器学习项目,18%的企业计划或有兴趣部署机器学习进行威胁检测和响应。
未来属于开放式XDR?
虽然安全厂商不断对现有的SOC方案进行优化和改进,但最终的应用效果还需要实践验证。有研究人员认为,目前SOC产品的应用不足很难从根本上改变。
首先,数据管理效率低下将是现有SOC框架固有的缺点。主流SOC方案普遍缺少一种流畅的系统化流程,来实现高效的数据收集、存储和关联,并确定海量数据分析的优先级。一些厂商推出开箱即用的数据处理和优先级确定机制,但它们还没有证明其效果。
其次,手动工作在目前的SOC应用中依然必不可少,仍然需要由安全专家编写相应的运营规则去人工配置。
此外,在确保SOC与组织常用的安全工具有效协同工作方面存在一些挑战,找到整合的方法并不困难,但可能很低效。而当不同厂商发布新版本更新时,很多协同问题也会随之而来。
在此背景下,开放式XDR被认为是企业安全运营能力体系的一种有效补充,甚至可能会成为传统SOC方案的一种替代。开放式XDR与SOC之间有一些相似之处,但采用了不同的技术体系框架,因此更容易实现多种安全能力的集成与协同。由于采用的方法和框架体系不一样,开放式XDR具有了一些独特的方法,能够以传统SOC无法实现的方式处理新型安全威胁。
开放式XDR对海量安全数据的处理分析将更有效率。它明确要求对数据先经过统一的规范和提炼,然后存储到数据湖或大数据处理系统,这是目前的SOC方案难以实现的。由于收集和存储的安全数据已经过清理,开放式XDR得以最大限度地发挥人工智能的算法优势。
此外,开放式XDR可以借助不同的安全控制措施来应对诸多风险,并使用统一的控制界面来保障用户应用体验。它还使组织可以借助单一平台,更便捷地使用UEBA、SOAR、NDR、EDR及其他新型安全工具。