超越XDR?安全觀察、優(yōu)先級與驗證(SOPV)
所有用于計算風險管理的“公式”往往有5個組成部分:安全事件的可能性;事件的影響;實體/資產(chǎn)的價值;實體/資產(chǎn)的脆弱性;對該實體/資產(chǎn)的威脅。這5種信息用于決定組織在何處,以及如何采取風險緩解措施。
網(wǎng)絡(luò)安全規(guī)劃和戰(zhàn)略要把這些因素考慮在內(nèi)。業(yè)務(wù)管理人員幫助確定實體/資產(chǎn)的價值,以及這些實體/資產(chǎn)降級、被盜或不可用時的影響。安全、IT和風險團隊就實體/資產(chǎn)離線事件的可能性進行協(xié)作。最后,安全團隊在威脅和漏洞管理方面與IT運營部門合作。
在過去幾年中,安全技術(shù)在威脅管理方面發(fā)生了巨大變化,擴展檢測和響應(yīng)即XDR的出現(xiàn)就是這種巨變的一種表現(xiàn)。提高安全效率和運營效率的需求催生了XDR這種技術(shù)架構(gòu),其技術(shù)原理就是基于統(tǒng)一數(shù)據(jù)源、可見性和分析,來更好的做到對威脅的預(yù)防、檢測和響應(yīng)。
隨著XDR的發(fā)展,業(yè)界認識到了各種數(shù)據(jù)和工具整合在威脅管理中的重要性。如發(fā)現(xiàn)所有實體/資產(chǎn)(用戶、帳戶、應(yīng)用程序、系統(tǒng)、敏感數(shù)據(jù))的能力,查看所有實體/資產(chǎn)之間關(guān)系的能力,并了解所有實體/資產(chǎn)的安全態(tài)勢(軟件配置文件、配置狀態(tài)、完整性、公司政策的合規(guī)情況等)。這些信息是網(wǎng)絡(luò)安全決策的基礎(chǔ),包括風險緩解、安全需求、如何使用預(yù)算等。在沒有全面可見性的情況下,安全決策就變成了安全猜測。
SOPV:安全觀察、優(yōu)先級和驗證
在集成和整合的大趨勢下,有可能以下幾個獨立的安全技術(shù)將結(jié)合在一起形成一個體系架構(gòu),也就是這篇文章論述的SOPV,安全觀察、優(yōu)先級和驗證。其中,包括了以下幾種技術(shù):
1.漏洞管理。如同防病毒一樣,漏洞管理雖然有著各種各樣的問題(如始終處于被動,新漏洞不斷涌現(xiàn),永遠打不完的補丁),但它也是一個最為基礎(chǔ)的安全措施。
2.資產(chǎn)管理。即通過API從CMDB(配置管理數(shù)據(jù)庫)、漏洞管理、端點管理工具等多種系統(tǒng)收集信息。目標是呈現(xiàn)更全面的實體/資產(chǎn)及其態(tài)勢清單。
3.攻擊面管理(ASM)。漏洞管理和資產(chǎn)管理系統(tǒng)無法掃描或收集未知的資產(chǎn)信息,而且隨著互聯(lián)網(wǎng)暴露面(如域名、IP地址、SSL證書、用戶憑據(jù)等)的不斷增加,這個問題變得更加嚴重。
4.云安全態(tài)勢管理(CSPM)。CSPM提供對云工作負載的深度可見性,也將會是SOPV架構(gòu)的重要組成。
5.風險評分系統(tǒng)。盡管全面了解所有實體/資產(chǎn)很重要,但沒有人希望安全團隊被大量的數(shù)據(jù)淹沒。相反,收集盡可能多數(shù)據(jù)的目標是為了分析,并給出風險級別的評分,以幫助組織做出正確的風險緩解決策。
6.連續(xù)自動滲透和攻擊測試(CAPAT)。信奉Gartner的人稱其為入侵和攻擊模擬(BAS),旨在從攻擊者的角度出發(fā),來驗證各種檢測分析保護工具的有效性。例如,風險評分系統(tǒng)可能會認為某個實體/資產(chǎn)屬于低風險,但卻被BAS驗證出,實際上這個資產(chǎn)可以被攻擊者利用來危害關(guān)鍵業(yè)務(wù)系統(tǒng)。
與XDR的出現(xiàn)如出一轍,向SOPV的演進也是必然,因為現(xiàn)有的安全管理工具和流程不僅復(fù)雜、不完整,同時成本還高,效果也差強人意。一些安全提供商已經(jīng)在向SOPV方向發(fā)展。思科收購了風險評分領(lǐng)導(dǎo)廠商Kenna Security,微軟收購了RiskIQ,派拓網(wǎng)絡(luò)收購了ASM供應(yīng)商Expanse,F(xiàn)ireEye收購了CAPAT玩家Verodin。此外,漏洞管理的三大巨頭Qualys、Rapid7和Tenable也在朝著這個方向發(fā)展。
SOPV還需要什么?
1.與XDR一樣,SOPV是一種體系架構(gòu),而不是許多產(chǎn)品的堆集。因此,SOPV的成功將取決于標準數(shù)據(jù)格式、開放API和行業(yè)合作。
2.除了上面強調(diào)的幾種技術(shù)外,SOPV還需要與身份和訪問管理系統(tǒng)(IAM)打通,以了解用戶、帳戶、訪問權(quán)限等,同時還需要一些數(shù)據(jù)發(fā)現(xiàn)和分類功能。
3.必須了解實體/資產(chǎn)之間的關(guān)系,才能真正有效地了解脆弱性,了解攻擊者如何利用一個實體/資產(chǎn)攻擊另一個實體/資產(chǎn)。
4.SOPV還需要可見性和對安全控制的深度理解。這就是為什么需要CAPAT技術(shù)的一個主要原因。
5.最后,不管是SOPV還是XDR,流程自動化和安全閉環(huán)都是成功的必要因素。
點評
SOPV是調(diào)研機構(gòu)ESG新近提出的概念。如同前兩年態(tài)勢感知時代時提出的SOAPA(安全運營和分析平臺架構(gòu)),ESG偏向提出覆蓋“所有”功能的統(tǒng)一架構(gòu)/平臺。這些概念雖然有著統(tǒng)一的大背景、趨勢和需求,但實際上缺乏內(nèi)在的技術(shù)邏輯性,更偏向于功能的簡單堆集。簡而言之,SOPV試圖做大而全,而XDR正是因為無法做大而全(態(tài)勢感知)而退一步聚焦于檢測與響應(yīng)的權(quán)宜之計,更具有現(xiàn)實意義。但SOPV強調(diào)的“全面、整合、自動化、驗證”等理念還是非常值得借鑒的。
