網(wǎng)絡(luò)安全中絕對“流行”的趨勢之一是安全運營中心 (SOC) 現(xiàn)代化。越來越多的證據(jù)表明，這不是是否會受到攻擊的問題，而是何時以及如何攻擊一個組織。有了這個前提，我們看到 SOC 縮小了他們成為檢測和響應(yīng)組織的使命的重點，需要某些構(gòu)建塊來為未來的 SOC做好準(zhǔn)備。

之前，談到數(shù)據(jù)是 SOC 現(xiàn)代化的第一個構(gòu)建塊。數(shù)據(jù)是安全的命脈，因為它提供了來自廣泛的內(nèi)部和外部來源的上下文，包括系統(tǒng)、威脅、漏洞、身份等等。當(dāng)安全性由數(shù)據(jù)驅(qū)動時，團隊可以專注于相關(guān)的高優(yōu)先級問題，做出最佳決策并采取正確的行動。數(shù)據(jù)驅(qū)動的安全性還提供了一個持續(xù)的反饋循環(huán)，使團隊能夠捕獲和使用數(shù)據(jù)來改進未來的分析。

第二個構(gòu)建塊建立在數(shù)據(jù)之上，是一個開放式集成架構(gòu)，可確保系統(tǒng)和工具可以協(xié)同工作，并且數(shù)據(jù)可以在整個基礎(chǔ)架構(gòu)中流動。來自ESG的Jon Oltsik 在推特上強調(diào)了對這種架構(gòu)的需求：“到 2022 年，業(yè)界將認識到 XDR 必須是一個開放且靈活的架構(gòu)。” 隨著 SOC 成為檢測和響應(yīng)組織，擴展檢測和響應(yīng) (XDR) 成為關(guān)鍵能力，只有基于開放式架構(gòu)方法才能有效執(zhí)行。

開放性很重要，原因如下：

沒有干凈的石板。團隊分析所需的數(shù)據(jù)來自多種不同的技術(shù)、威脅源和其他第三方來源。最近的一項研究發(fā)現(xiàn)，平均而言，組織擁有超過45 種不同的安全工具在大多數(shù)情況下，彼此不交互。隨著時間的推移，隨著不同的團隊、預(yù)算和部門做出獨立決策，這種情況自然會發(fā)生。他們可能依賴少數(shù)“大型供應(yīng)商”來處理大部分安全任務(wù)，但通常他們也使用同類最佳供應(yīng)商來控制大型供應(yīng)商沒有或不擅長的控制。還有交易的問題使用團隊仍然需要使用的本地工具，至少在短期內(nèi)完全過渡到云之前。一些組織擁有需要內(nèi)部集成的工具，意味著他們需要 API 以便他們可以編寫自己的集成。一個開放的集成架構(gòu)將解決所有這些場景：與當(dāng)今的安全團隊合作，實現(xiàn)與專有工具的集成，

并購(M&A)發(fā)生。許多組織通過并購發(fā)展壯大，而不是統(tǒng)一其安全技術(shù)以符合上級組織的要求，至少在短期內(nèi)他們維護著獨立的系統(tǒng)。組織還可以允許業(yè)務(wù)部門有一定的自主權(quán)來部署他們需要的工具來支持他們的獨特需求。集成必須廣泛，以涵蓋企業(yè)在任何地方擁有的任何工具。

新的用例需要協(xié)作。未來的 SOC 必須能夠處理正常操作和其他用例，包括威脅檢測和監(jiān)控、調(diào)查、事件響應(yīng)和搜尋。對這些用例的支持需要團隊和工具快速高效地協(xié)同工作。支持這些用例的數(shù)據(jù)、團隊和工具遍布整個典型組織。具有雙向集成的開放式架構(gòu)使團隊能夠?qū)?shù)據(jù)和工具整合在一起，以進行分析和決策，形成一個共同的工作界面。

最終，關(guān)于更快地采取正確的行動。全面響應(yīng)需要超越一個文件或系統(tǒng)來查找整個組織中的所有相關(guān)事件和數(shù)據(jù)。將這些點連接起來并通過額外的智能進行情境化需要跨工具的深度集成，以便團隊能夠充分了解如何補救和響應(yīng)事件。雙向集成使數(shù)據(jù)能夠流入和流出，立即自動將相關(guān)策略和命令發(fā)送回防御網(wǎng)格中的正確工具，以加快響應(yīng)速度。

允許持續(xù)改進。循環(huán)往復(fù)，雙向集成支持從響應(yīng)中捕獲和存儲數(shù)據(jù)的能力，以便隨著時間的推移進行學(xué)習(xí)和改進。團隊在公共工作界面中分享評論和觀察的能力，以及新數(shù)據(jù)可用時的入站流量，有助于 SOC 隨著威脅的發(fā)展繼續(xù)加強檢測和響應(yīng)。

未來的 SOC 必須是數(shù)據(jù)驅(qū)動的，因此系統(tǒng)和工具必須能夠協(xié)同工作。開放式集成架構(gòu)提供了對來自技術(shù)、威脅源和其他第三方來源的數(shù)據(jù)的最大訪問權(quán)限，并能夠在做出決定后推動對這些技術(shù)采取行動。但是，現(xiàn)代 SOC 還需要一個高效和有效地構(gòu)建模塊——平衡自動化與人工參與的能力。