共同之處：每一種技術(shù)都能增強(qiáng)效力，為其周邊的其他安全技術(shù)提高戰(zhàn)斗力。

[[276794]]

目前提高網(wǎng)絡(luò)安全防御能力的新技術(shù)，包括機(jī)器學(xué)習(xí)算法改進(jìn)安全分析或漏洞管理， SOAR(安全編排、自動化和響應(yīng))平臺幫助組織機(jī)構(gòu)自動化手動流程和簡化安全操作，以及入侵和攻擊模擬工具，它們能夠幫助組織機(jī)構(gòu)識別風(fēng)險并進(jìn)行持續(xù)評估和提高安全。

這些技術(shù)顯示出了巨大的潛力，當(dāng)然也不乏炒作。企業(yè)采用這些技術(shù)的時候，流程和技術(shù)本身仍然不夠成熟，雖然可以預(yù)期這些技術(shù)的獲益，但均處于緩慢而謹(jǐn)慎地發(fā)展?fàn)顟B(tài)中。本文旨在提出一些更具突破性的前景技術(shù)：

1. Apache Kafka(分布式消息隊列)

根據(jù) ESG 的研究，與兩年前相比，有 77% 的企業(yè)收集、處理和分析了更多的安全數(shù)據(jù)。都是什么樣的數(shù)據(jù)呢?一切數(shù)據(jù)：日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包和流、網(wǎng)絡(luò)威脅情報、應(yīng)用數(shù)據(jù)、云遙測等等。這對于持續(xù)的安全監(jiān)控是有意義的，但是移動和處理實(shí)時數(shù)據(jù)流需要高度擴(kuò)展的數(shù)據(jù)管道。Apache Kafka 是一個分布式流媒體平臺(最初由 LinkedIn 開發(fā))，每天可以處理數(shù)萬億起事件。

Apache Kafka 為萬億字節(jié)的安全遙測提供了發(fā)布 / 訂閱消息總線，然后將其實(shí)時提供給多個分析引擎。因此，Apache Kafka(和其他工具，如 RabbitMQ)可以幫助企業(yè)實(shí)現(xiàn)更快速的威脅檢測和響應(yīng)。最早的 Apache Kafka 主要應(yīng)用于基層開發(fā)工作中，但是從那時候起供應(yīng)商就注意到它。在 2018 年，為了利用框架和其他 SIEM 工具，Splunk 為 Kafka 提供了一個連接器，安全分析供應(yīng)商也參與其中。如果沒有具有高性能、高擴(kuò)展性和管理良好的數(shù)據(jù)管道，我們就無法收集、處理、分析和執(zhí)行安全遙測。Apache Kafka 正在這個領(lǐng)域發(fā)揮真正的作用。

2. MITRE ATT&CK 框架 (MAF)

讓我們面對現(xiàn)實(shí)吧，多年來 MITRE 經(jīng)歷了一些波折和失誤，推出了一些復(fù)雜的技術(shù)框架，這些框架從未得到除了美國聯(lián)邦政府之外其他方的認(rèn)可 (如 FCAPS) 。為什么 MAF 會不同?正如孫子所言：“知己知彼，百戰(zhàn)不殆。” 在很多情況下，網(wǎng)絡(luò)安全分析師對自己了解很多，但對敵人了解卻很少，因此他們傾向于單獨(dú)處理每一起安全事件，而不是尋找攻擊模式。Lockheed Martin 在 2011 年通過引入 “殺傷鏈” (kill chain) 改變了人們的網(wǎng)絡(luò)安全思維，但安全團(tuán)隊需要先進(jìn)的威脅情報和安全分析技能，才能將安全事件對應(yīng)到 Lockheed 的模型中。MAF 通過充當(dāng) “粘合劑” 來填補(bǔ)了這一空白，幫助分析人員將殺傷鏈上的單個事件置于情境中進(jìn)行視覺化，并向他們提供詳細(xì)的指導(dǎo)，告訴他們下一步該從哪里著手來發(fā)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)安全攻擊。隨著 MAF 用戶的增加，MAF 支持在所有類型的安全分析工具中無處不在也就不足為奇了。遵循孫子的智慧，MAF 迫使網(wǎng)絡(luò)安全分析師像其對手一樣思考。難怪它會產(chǎn)生如此深遠(yuǎn)的影響。

3. OpenC2

這個 OASIS 標(biāo)準(zhǔn)比 Apache Kafka 或 MAF 更難懂，實(shí)際上它還沒有產(chǎn)生什么影響，然而它有很大的潛力。OpenC2 創(chuàng)建了一個抽象層，用于標(biāo)準(zhǔn)化安全控制的通信和指令。例如，假設(shè)某個組織機(jī)構(gòu)收到了特定IP地址是惡意的高保真威脅情報。立即響應(yīng)會在所有安全控制中阻止這個 IP 地址。在現(xiàn)有的安全技術(shù)下，這可能意味著要將這一規(guī)則轉(zhuǎn)換成供應(yīng)商特定的語法，這在大型異構(gòu)企業(yè)中可能很麻煩。這就是為什么 SIEM、SOAR 和 TIP 供應(yīng)商(以及其他供應(yīng)商)花費(fèi)如此多的時間和精力開發(fā)連接器和建立合作伙伴生態(tài)系統(tǒng)的原因。

OpenC2 可以通過通用標(biāo)準(zhǔn)來減輕這種需要轉(zhuǎn)譯問題。與單獨(dú)的連接器不同，端點(diǎn)安全軟件、防火墻、代理、DNS 服務(wù)等安全控制能夠和 OpenC2 通信，因此分析引擎可以為所有相關(guān)的安全控制發(fā)布一個統(tǒng)一的規(guī)則。相信這種標(biāo)準(zhǔn)化可以真正對自動化、加速和擴(kuò)展數(shù)據(jù)驅(qū)動的安全流程有幫助。

這三種技術(shù)都有一個共同的特點(diǎn)：每一種技術(shù)都能增強(qiáng)效力，為其周邊的其他安全技術(shù)提高戰(zhàn)斗力。