所有用于計算風險管理的“公式”往往有5個組成部分：安全事件的可能性;事件的影響;實體/資產(chǎn)的價值;實體/資產(chǎn)的脆弱性;對該實體/資產(chǎn)的威脅。這5種信息用于決定組織在何處，以及如何采取風險緩解措施。

網(wǎng)絡安全規(guī)劃和戰(zhàn)略要把這些因素考慮在內(nèi)。業(yè)務管理人員幫助確定實體/資產(chǎn)的價值，以及這些實體/資產(chǎn)降級、被盜或不可用時的影響。安全、IT和風險團隊就實體/資產(chǎn)離線事件的可能性進行協(xié)作。最后，安全團隊在威脅和漏洞管理方面與IT運營部門合作。

在過去幾年中，安全技術(shù)在威脅管理方面發(fā)生了巨大變化，擴展檢測和響應即XDR的出現(xiàn)就是這種巨變的一種表現(xiàn)。提高安全效率和運營效率的需求催生了XDR這種技術(shù)架構(gòu)，其技術(shù)原理就是基于統(tǒng)一數(shù)據(jù)源、可見性和分析，來更好的做到對威脅的預防、檢測和響應。

隨著XDR的發(fā)展，業(yè)界認識到了各種數(shù)據(jù)和工具整合在威脅管理中的重要性。如發(fā)現(xiàn)所有實體/資產(chǎn)(用戶、帳戶、應用程序、系統(tǒng)、敏感數(shù)據(jù))的能力，查看所有實體/資產(chǎn)之間關(guān)系的能力，并了解所有實體/資產(chǎn)的安全態(tài)勢(軟件配置文件、配置狀態(tài)、完整性、公司政策的合規(guī)情況等)。這些信息是網(wǎng)絡安全決策的基礎，包括風險緩解、安全需求、如何使用預算等。在沒有全面可見性的情況下，安全決策就變成了安全猜測。

SOPV：安全觀察、優(yōu)先級和驗證

在集成和整合的大趨勢下，有可能以下幾個獨立的安全技術(shù)將結(jié)合在一起形成一個體系架構(gòu)，也就是這篇文章論述的SOPV，安全觀察、優(yōu)先級和驗證。其中，包括了以下幾種技術(shù)：

1.漏洞管理。如同防病毒一樣，漏洞管理雖然有著各種各樣的問題(如始終處于被動，新漏洞不斷涌現(xiàn)，永遠打不完的補丁)，但它也是一個最為基礎的安全措施。

2.資產(chǎn)管理。即通過API從CMDB(配置管理數(shù)據(jù)庫)、漏洞管理、端點管理工具等多種系統(tǒng)收集信息。目標是呈現(xiàn)更全面的實體/資產(chǎn)及其態(tài)勢清單。

3.攻擊面管理(ASM)。漏洞管理和資產(chǎn)管理系統(tǒng)無法掃描或收集未知的資產(chǎn)信息，而且隨著互聯(lián)網(wǎng)暴露面(如域名、IP地址、SSL證書、用戶憑據(jù)等)的不斷增加，這個問題變得更加嚴重。

4.云安全態(tài)勢管理(CSPM)。CSPM提供對云工作負載的深度可見性，也將會是SOPV架構(gòu)的重要組成。

5.風險評分系統(tǒng)。盡管全面了解所有實體/資產(chǎn)很重要，但沒有人希望安全團隊被大量的數(shù)據(jù)淹沒。相反，收集盡可能多數(shù)據(jù)的目標是為了分析，并給出風險級別的評分，以幫助組織做出正確的風險緩解決策。

6.連續(xù)自動滲透和攻擊測試(CAPAT)。信奉Gartner的人稱其為入侵和攻擊模擬(BAS)，旨在從攻擊者的角度出發(fā)，來驗證各種檢測分析保護工具的有效性。例如，風險評分系統(tǒng)可能會認為某個實體/資產(chǎn)屬于低風險，但卻被BAS驗證出，實際上這個資產(chǎn)可以被攻擊者利用來危害關(guān)鍵業(yè)務系統(tǒng)。

與XDR的出現(xiàn)如出一轍，向SOPV的演進也是必然，因為現(xiàn)有的安全管理工具和流程不僅復雜、不完整，同時成本還高，效果也差強人意。一些安全提供商已經(jīng)在向SOPV方向發(fā)展。思科收購了風險評分領(lǐng)導廠商Kenna Security，微軟收購了RiskIQ，派拓網(wǎng)絡收購了ASM供應商Expanse，F(xiàn)ireEye收購了CAPAT玩家Verodin。此外，漏洞管理的三大巨頭Qualys、Rapid7和Tenable也在朝著這個方向發(fā)展。

SOPV還需要什么?

1.與XDR一樣，SOPV是一種體系架構(gòu)，而不是許多產(chǎn)品的堆集。因此，SOPV的成功將取決于標準數(shù)據(jù)格式、開放API和行業(yè)合作。

2.除了上面強調(diào)的幾種技術(shù)外，SOPV還需要與身份和訪問管理系統(tǒng)(IAM)打通，以了解用戶、帳戶、訪問權(quán)限等，同時還需要一些數(shù)據(jù)發(fā)現(xiàn)和分類功能。

3.必須了解實體/資產(chǎn)之間的關(guān)系，才能真正有效地了解脆弱性，了解攻擊者如何利用一個實體/資產(chǎn)攻擊另一個實體/資產(chǎn)。

4.SOPV還需要可見性和對安全控制的深度理解。這就是為什么需要CAPAT技術(shù)的一個主要原因。

5.最后，不管是SOPV還是XDR，流程自動化和安全閉環(huán)都是成功的必要因素。

點評

SOPV是調(diào)研機構(gòu)ESG新近提出的概念。如同前兩年態(tài)勢感知時代時提出的SOAPA(安全運營和分析平臺架構(gòu))，ESG偏向提出覆蓋“所有”功能的統(tǒng)一架構(gòu)/平臺。這些概念雖然有著統(tǒng)一的大背景、趨勢和需求，但實際上缺乏內(nèi)在的技術(shù)邏輯性，更偏向于功能的簡單堆集。簡而言之，SOPV試圖做大而全，而XDR正是因為無法做大而全(態(tài)勢感知)而退一步聚焦于檢測與響應的權(quán)宜之計，更具有現(xiàn)實意義。但SOPV強調(diào)的“全面、整合、自動化、驗證”等理念還是非常值得借鑒的。