当下,许多机构还在依靠各种各样的单点工具来做安全运营,导致了安全运营工作的困难与乏力。根据ESG的调查研究显示,以下为机构面临的主要困境:

  • 令安全运营更加复杂和耗费时间(35%)

  • 难以随时获悉网络安全状态的整个画面(35%)

  • 需要有对所有产生的安全警告进行优化分类、优先选择和调查(34%)

  • 每种安全工具都要求自己的管理和运营界面,造成机构的资源更加紧张(33%)

  • 机构缺乏足够的人员或正确的技能来有效的管理各种工具(25%)

安全统一管理的需求并不新鲜,四年前ESG就为此提出了一个名为“安全运营与分析平台架构”(SOAPA)的概念,旨在合并与整合各个层面的安全运营工作。从原始数据到分析,再到日常的运营流程。

SOAPA是一个自底向上的架构,赋予SOC团队基于实时的安全遥测数据展开工作的能力。像系统隔离、补丁更新或是事件调查等工作,都需要基于有效的数据收集、处理、分析,以及高质量的安全流程编排。

SOAPA的顶层是SOAR(安全编排自动化与响应)平台,包括了事件管理、运行手册和自动处理等能力。SOAR的好处是统一了运营流程,但它的问题在于迫使运营人员去配置、定制、学习和操作大量的用户界面(UI)。因此,一个综合性的全面性的安全运营平台呼之欲出。在这个平台上,安全人员可以查询各种来源的数据,使用统一的日志与事件管理、分析可视化、威胁情报、基于角色的可配置仪表盘等功能。简而言之,日常安全运营工作的大部分,都可以基于一个通用的UI上展开。

通用UI的最明显的好处在于,学习成本下降,工作效率提升。通用的模板可以快速令新人上手,而不同的SOC人员可以在同一时间访问所有的安全数据,而且不同的人员角色使用不同的仪表盘。不仅仅是机构内部,不同机构之间也可以通过通用UI分享数据、运行手册和最佳实践。

国外已经有几家厂商意识到了这个趋势,如IBM的Cloud Pak for Security,派拓网络的Cortex/XSOAR,Splunk的Mission Control等工具中均发布了通用UI的版本。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。