超越XDR?安全观察、优先级与验证(SOPV)
所有用于计算风险管理的“公式”往往有5个组成部分:安全事件的可能性;事件的影响;实体/资产的价值;实体/资产的脆弱性;对该实体/资产的威胁。这5种信息用于决定组织在何处,以及如何采取风险缓解措施。
网络安全规划和战略要把这些因素考虑在内。业务管理人员帮助确定实体/资产的价值,以及这些实体/资产降级、被盗或不可用时的影响。安全、IT和风险团队就实体/资产离线事件的可能性进行协作。最后,安全团队在威胁和漏洞管理方面与IT运营部门合作。
在过去几年中,安全技术在威胁管理方面发生了巨大变化,扩展检测和响应即XDR的出现就是这种巨变的一种表现。提高安全效率和运营效率的需求催生了XDR这种技术架构,其技术原理就是基于统一数据源、可见性和分析,来更好的做到对威胁的预防、检测和响应。
随着XDR的发展,业界认识到了各种数据和工具整合在威胁管理中的重要性。如发现所有实体/资产(用户、帐户、应用程序、系统、敏感数据)的能力,查看所有实体/资产之间关系的能力,并了解所有实体/资产的安全态势(软件配置文件、配置状态、完整性、公司政策的合规情况等)。这些信息是网络安全决策的基础,包括风险缓解、安全需求、如何使用预算等。在没有全面可见性的情况下,安全决策就变成了安全猜测。
SOPV:安全观察、优先级和验证
在集成和整合的大趋势下,有可能以下几个独立的安全技术将结合在一起形成一个体系架构,也就是这篇文章论述的SOPV,安全观察、优先级和验证。其中,包括了以下几种技术:
与XDR的出现如出一辙,向SOPV的演进也是必然,因为现有的安全管理工具和流程不仅复杂、不完整,同时成本还高,效果也差强人意。一些安全提供商已经在向SOPV方向发展。思科收购了风险评分领导厂商Kenna Security,微软收购了RiskIQ,派拓网络收购了ASM供应商Expanse,FireEye收购了CAPAT玩家Verodin。此外,漏洞管理的三大巨头Qualys、Rapid7和Tenable也在朝着这个方向发展。
SOPV还需要什么?
SOPV是调研机构ESG新近提出的概念。如同前两年态势感知时代时提出的SOAPA(安全运营和分析平台架构),ESG偏向提出覆盖“所有”功能的统一架构/平台。这些概念虽然有着统一的大背景、趋势和需求,但实际上缺乏内在的技术逻辑性,更偏向于功能的简单堆集。简而言之,SOPV试图做大而全,而XDR正是因为无法做大而全(态势感知)而退一步聚焦于检测与响应的权宜之计,更具有现实意义。但SOPV强调的“全面、整合、自动化、验证”等理念还是非常值得借鉴的。
参考阅读