每個領(lǐng)域都有其縮寫詞，但是網(wǎng)絡(luò)安全領(lǐng)域可能有太多的縮寫詞。我們用這些縮寫詞來描述威脅來源，以及它們?nèi)绾紊У?，還會描述不同的安全團隊、他們的證書、以及他們使用的工具?？s寫本身沒啥毛病，但是當(dāng)它們被用于描述新興的解決方案時，就會出現(xiàn)個有趣的現(xiàn)象——那個縮寫會被作為下一個能解決所有安全問題的銀色子彈技術(shù)。不過很可惜，這從來沒有實現(xiàn)。

縮寫和它們被期許的“價值”

追溯十年前Gartner定義的UTM：一種統(tǒng)一的安全產(chǎn)品，尤其適用于中小型企業(yè)，一般功能組會分為三個部分：防火墻/IPS/VPN、Web安全網(wǎng)關(guān)和信息傳輸安全。UTM理論上需要能滿足網(wǎng)絡(luò)線路中所需要的所有安全需求，但實際上并沒有。然后，NGFW就出現(xiàn)了，能夠定制化滿足企業(yè)特殊需求——只不過，依然沒有做到。

UTM和NGFW注重于對網(wǎng)絡(luò)線路進行防御。但是，隨著端點越來越多，關(guān)注點逐漸轉(zhuǎn)向這個已經(jīng)擴大的攻擊面，業(yè)界隨之轉(zhuǎn)向EPP。那繞過了這些解決方案的威脅怎么辦?這不就有了EDR嗎?

最近比較火的縮寫應(yīng)該是XDR，意味著擴展檢測與響應(yīng)(Extended Detection and Response)。XDR最初的定義將其描述為基于EDR的一種新解決方案，“X”只是表示EDR的“擴展”或者“下一代”。但是其他我們還沒怎么關(guān)注的“檢測與響應(yīng)”怎么辦?比如說流量檢測與響應(yīng)(Network Detection and Response, NDR)和云檢測與響應(yīng)(Cloud Detection and Response, CDR)?XDR也應(yīng)該要包括這些東西，還有幾十種組織已經(jīng)在他們環(huán)境中部署的安全工具。而這個系統(tǒng)還包括新出現(xiàn)的威脅檢測調(diào)查和響應(yīng)(Threat Detection, Investigation and Repsonse, TDIR)平臺，用于解決SOC不僅需要檢測與響應(yīng)能力，還需要“調(diào)查”的需求。

XDR和之后各種“變體”的目的，都是對整個基礎(chǔ)設(shè)施的檢測與響應(yīng)，包括所有的攻擊來源、連接不同的供應(yīng)商以及各種云端和本地部署的安全技術(shù)。那么，如何實現(xiàn)?XDR是一個目標(biāo)方向，而不是一個解決方案;它只能用一個整體、結(jié)構(gòu)化的解決方式。把它作為另一個銀子彈技術(shù)，或者另一個帶著新期許的縮寫，都不過是歷史的重演罷了。那樣的XDR無法為SOC的效率有任何提升。

從縮寫轉(zhuǎn)向用例

比起縮寫詞一波又一波的出現(xiàn)，我們面臨的攻擊才是更為持久不斷的。那就先把縮寫放在一邊，把注意力放在更重要的一些事情上——比如SOC作為現(xiàn)代化進行檢測和響應(yīng)機構(gòu)的使用情況。SOC的工作包括了告警追蹤、防魚叉式釣魚、事件響應(yīng)、威脅狩獵與威脅情報管理。

如果要讓SOC更加有效，未來SOC還需要能夠具備以下能力：

專注于數(shù)據(jù)

數(shù)據(jù)是安全的血液，因為它能從系統(tǒng)、威脅、脆弱性、身份等內(nèi)部與外部的資源，提供廣泛的上下文聯(lián)系。當(dāng)安全是數(shù)據(jù)驅(qū)動的時候，團隊就能夠有上下文關(guān)聯(lián)，關(guān)注于更為相關(guān)的高優(yōu)先級問題，從而進行最佳的決策并執(zhí)行正確的操作。數(shù)據(jù)驅(qū)動的安全同樣能夠提供一個可持續(xù)的反饋循環(huán)，讓團隊能夠存儲和使用數(shù)據(jù)，以便提升未來的分析。

確保系統(tǒng)和工具能夠協(xié)同

由于團隊用于分析的數(shù)據(jù)會貫穿大部分組織，雙向集成可以讓團隊將數(shù)據(jù)匯聚到一個共同的工作面。一個開放式的集成架構(gòu)可以從技術(shù)、威脅信息和其他第三方資源提供大量的數(shù)據(jù)接入能力。它同樣能讓團隊可以在進行決策后快速基于相關(guān)技術(shù)進行響應(yīng)。

自動化與人類響應(yīng)的平衡

提升團隊能力最有效的方式是用自動化取代重復(fù)、低風(fēng)險、又耗時的任務(wù)，并意識到現(xiàn)在依然需要人類的分析能力。非正常的且高影響的緊急調(diào)查最好讓人類分析師帶頭處理，而自動化只是進行補充工作。在人類和機器相平衡的情況下，自動化確保團隊總是有最合適的工具。

SOC不需要另一個縮寫名詞代替。他們真正需要的是那些能夠讓他們更快更全面，解決他們最重要工作的能力。這才是安全行業(yè)真正需要應(yīng)許的東西，而且這只有通過正確的架構(gòu)才能實現(xiàn)。

點評

安全行業(yè)的新概念每年都在出現(xiàn)，不同的縮寫詞也是一個接一個地冒出來。但是，我們需要的是真正能夠解決問題的方案，而不是一堆縮寫詞和空炒的概念。SOC在國內(nèi)的落地相對艱難，原因包括了技術(shù)集成能力上的不足，以及人才的匱乏。對于技術(shù)集成能力的不足，我們需要的不僅僅是另一個好聽的概念，而是真正能夠打通各類安全能力協(xié)同的架構(gòu)——是不止于概念與理論，真正能夠落地并實踐的架構(gòu)。