共同之处:每一种技术都能增强效力,为其周边的其他安全技术提高战斗力。

目前提高网络安全防御能力的新技术,包括机器学习算法改进安全分析或漏洞管理, SOAR(安全编排、自动化和响应)平台帮助组织机构自动化手动流程和简化安全操作,以及入侵和攻击模拟工具,它们能够帮助组织机构识别风险并进行持续评估和提高安全。

这些技术显示出了巨大的潜力,当然也不乏炒作。企业采用这些技术的时候,流程和技术本身仍然不够成熟,虽然可以预期这些技术的获益,但均处于缓慢而谨慎地发展状态中。本文旨在提出一些更具突破性的前景技术:

1. Apache Kafka(分布式消息队列)

根据 ESG 的研究,与两年前相比,有 77% 的企业收集、处理和分析了更多的安全数据。都是什么样的数据呢?一切数据:日志数据、网络数据包和流、网络威胁情报、应用数据、云遥测等等。这对于持续的安全监控是有意义的,但是移动和处理实时数据流需要高度扩展的数据管道。Apache Kafka 是一个分布式流媒体平台(最初由 LinkedIn 开发),每天可以处理数万亿起事件。

Apache Kafka 为万亿字节的安全遥测提供了发布 / 订阅消息总线,然后将其实时提供给多个分析引擎。因此,Apache Kafka(和其他工具,如 RabbitMQ)可以帮助企业实现更快速的威胁检测和响应。最早的 Apache Kafka 主要应用于基层开发工作中,但是从那时候起供应商就注意到它。在 2018 年,为了利用框架和其他 SIEM 工具,Splunk 为 Kafka 提供了一个连接器,安全分析供应商也参与其中。如果没有具有高性能、高扩展性和管理良好的数据管道,我们就无法收集、处理、分析和执行安全遥测。Apache Kafka 正在这个领域发挥真正的作用。

2. MITRE ATT&CK 框架 (MAF)

让我们面对现实吧,多年来 MITRE 经历了一些波折和失误,推出了一些复杂的技术框架,这些框架从未得到除了美国联邦政府之外其他方的认可 (如 FCAPS) 。为什么 MAF 会不同?正如孙子所言:“知己知彼,百战不殆。” 在很多情况下,网络安全分析师对自己了解很多,但对敌人了解却很少,因此他们倾向于单独处理每一起安全事件,而不是寻找攻击模式。Lockheed Martin 在 2011 年通过引入 “杀伤链” (kill chain) 改变了人们的网络安全思维,但安全团队需要先进的威胁情报和安全分析技能,才能将安全事件对应到 Lockheed 的模型中。MAF 通过充当 “粘合剂” 来填补了这一空白,帮助分析人员将杀伤链上的单个事件置于情境中进行视觉化,并向他们提供详细的指导,告诉他们下一步该从哪里着手来发现更大规模的网络安全攻击。随着 MAF 用户的增加,MAF 支持在所有类型的安全分析工具中无处不在也就不足为奇了。遵循孙子的智慧,MAF 迫使网络安全分析师像其对手一样思考。难怪它会产生如此深远的影响。

3. OpenC2

这个 OASIS 标准比 Apache Kafka 或 MAF 更难懂,实际上它还没有产生什么影响,然而它有很大的潜力。OpenC2 创建了一个抽象层,用于标准化安全控制的通信和指令。例如,假设某个组织机构收到了特定IP地址是恶意的高保真威胁情报。立即响应会在所有安全控制中阻止这个 IP 地址。在现有的安全技术下,这可能意味着要将这一规则转换成供应商特定的语法,这在大型异构企业中可能很麻烦。这就是为什么 SIEM、SOAR 和 TIP 供应商(以及其他供应商)花费如此多的时间和精力开发连接器和建立合作伙伴生态系统的原因。

OpenC2 可以通过通用标准来减轻这种需要转译问题。与单独的连接器不同,端点安全软件、防火墙、代理、DNS 服务等安全控制能够和 OpenC2 通信,因此分析引擎可以为所有相关的安全控制发布一个统一的规则。相信这种标准化可以真正对自动化、加速和扩展数据驱动的安全流程有帮助。

这三种技术都有一个共同的特点:每一种技术都能增强效力,为其周边的其他安全技术提高战斗力。

信息化和软件服务网 - 助力数字中国建设 | 责编:左右