超越XDR?安全观察、优先级与验证(SOPV)

攻防
2年前

itc.jpg

  所有用于计算风险管理的“公式”往往有5个组成部分:安全事件的可能性;事件的影响;实体/资产的价值;实体/资产的脆弱性;对该实体/资产的威胁。这5种信息用于决定组织在何处,以及如何采取风险缓解措施。

  网络安全规划和战略要把这些因素考虑在内。业务管理人员帮助确定实体/资产的价值,以及这些实体/资产降级、被盗或不可用时的影响。安全、IT和风险团队就实体/资产离线事件的可能性进行协作。最后,安全团队在威胁和漏洞管理方面与IT运营部门合作。

  在过去几年中,安全技术在威胁管理方面发生了巨大变化,扩展检测和响应即XDR的出现就是这种巨变的一种表现。提高安全效率和运营效率的需求催生了XDR这种技术架构,其技术原理就是基于统一数据源、可见性和分析,来更好的做到对威胁的预防、检测和响应。

  随着XDR的发展,业界认识到了各种数据和工具整合在威胁管理中的重要性。如发现所有实体/资产(用户、帐户、应用程序、系统、敏感数据)的能力,查看所有实体/资产之间关系的能力,并了解所有实体/资产的安全态势(软件配置文件、配置状态、完整性、公司政策的合规情况等)。这些信息是网络安全决策的基础,包括风险缓解、安全需求、如何使用预算等。在没有全面可见性的情况下,安全决策就变成了安全猜测。

SOPV:安全观察、优先级和验证

  在集成和整合的大趋势下,有可能以下几个独立的安全技术将结合在一起形成一个体系架构,也就是这篇文章论述的SOPV,安全观察、优先级和验证。其中,包括了以下几种技术:

  1、漏洞管理。如同防病毒一样,漏洞管理虽然有着各种各样的问题(如始终处于被动,新漏洞不断涌现,永远打不完的补丁),但它也是一个最为基础的安全措施。

  2、资产管理。即通过API从CMDB(配置管理数据库)、漏洞管理、端点管理工具等多种系统收集信息。目标是呈现更全面的实体/资产及其态势清单。

  3、攻击面管理(ASM)。漏洞管理和资产管理系统无法扫描或收集未知的资产信息,而且随着互联网暴露面(如域名、IP地址、SSL证书、用户凭据等)的不断增加,这个问题变得更加严重。

  4、云安全态势管理(CSPM)。CSPM提供对云工作负载的深度可见性,也将会是SOPV架构的重要组成。

  5、风险评分系统。尽管全面了解所有实体/资产很重要,但没有人希望安全团队被大量的数据淹没。相反,收集尽可能多数据的目标是为了分析,并给出风险级别的评分,以帮助组织做出正确的风险缓解决策。

  6、连续自动渗透和攻击测试(CAPAT)。信奉Gartner的人称其为入侵和攻击模拟(BAS),旨在从攻击者的角度出发,来验证各种检测分析保护工具的有效性。例如,风险评分系统可能会认为某个实体/资产属于低风险,但却被BAS验证出,实际上这个资产可以被攻击者利用来危害关键业务系统。

  与XDR的出现如出一辙,向SOPV的演进也是必然,因为现有的安全管理工具和流程不仅复杂、不完整,同时成本还高,效果也差强人意。一些安全提供商已经在向SOPV方向发展。思科收购了风险评分领导厂商Kenna Security,微软收购了RiskIQ,派拓网络收购了ASM供应商Expanse,FireEye收购了CAPAT玩家Verodin。此外,漏洞管理的三大巨头Qualys、Rapid7和Tenable也在朝着这个方向发展。

SOPV还需要什么?

  1、与XDR一样,SOPV是一种体系架构,而不是许多产品的堆集。因此,SOPV的成功将取决于标准数据格式、开放API和行业合作。

  2、除了上面强调的几种技术外,SOPV还需要与身份和访问管理系统(IAM)打通,以了解用户、帐户、访问权限等,同时还需要一些数据发现和分类功能。

  3、必须了解实体/资产之间的关系,才能真正有效地了解脆弱性,了解攻击者如何利用一个实体/资产攻击另一个实体/资产。

  4、SOPV还需要可见性和对安全控制的深度理解。这就是为什么需要CAPAT技术的一个主要原因。

  5、最后,不管是SOPV还是XDR,流程自动化和安全闭环都是成功的必要因素。


数世点评

  SOPV是调研机构ESG新近提出的概念。如同前两年态势感知时代时提出的SOAPA(安全运营和分析平台架构),ESG偏向提出覆盖“所有”功能的统一架构/平台。这些概念虽然有着统一的大背景、趋势和需求,但实际上缺乏内在的技术逻辑性,更偏向于功能的简单堆集。简而言之,SOPV试图做大而全,而XDR正是因为无法做大而全(态势感知)而退一步聚焦于检测与响应的权宜之计,更具有现实意义。但SOPV强调的“全面、整合、自动化、验证”等理念还是非常值得借鉴的。



参考阅读

XDR落地的三个切入点

XDR推动EDR的终结?

数世咨询:网络安全态势感知能力指南