回首2024年,在威胁演变和新兴技术的叠加作用下,安全运营(SecOps)技术的迭代正在加速,安全运营的技术平台正在持续重构。如果用几个关键词来勾勒2024年的安全运营技术发展特点的话,笔者选择:AI化、自动化、主动化、整合化、管道化。本文关键要点
1)GenAI自身的不确定性风险抑制了其在安全运营领域的应用场景拓展;
2)基于智能体的智能自动化是未来,但现有自动化技术仍然大有可为;
3)在暴露管理技术的加持下,组织迈向真正资产运营和漏洞运营;
4)安全运营技术整合是未来,但整合技术路线选择需要仔细平衡;
5)以数据管道化为核心的新一代安全数据架构是对现有数据驱动安全理念的深化和重塑。
首先,需要明确安全运营(SecOps)和安全运营中心(SOC)的概念界定。安全运营(SecOps)是一个很宽泛的概念。如果我们把整个安全生命周期分为规划、建设、运营三个部分的话,安全运营的历程将伴随企业组织的一生。因此,在最广泛意义上,可以把安全运营看作是持续不断地保障目标网络安全平稳运行,达成组织业务战略目标的永续过程,以及在这个过程中开展的各项运营工作。
安全运营涉及的内容很广泛,从能力方面看,可以分解为IPDRR(识别、保护、检测、响应、恢复)或者类似的变体。从运营对象来看,可以分为工作负载、端点、应用、数据、身份等维度,并且针对不同的对象有各自独特的运营工作,譬如在身份运营中涉及账号权限的分配与管理工作,在数据安全运营中涉及对数据的分类分级工作,等等。对于应用的安全运营,可以进一步划分出开发态和运行态等不同的状态。而如果站在国家安全的视角,还能划分出防御性和进攻性等不同的性质。
从狭义上来看,安全运营的核心是威胁事件的运营以及围绕这个威胁事件运营延伸出来的资产、漏洞、情报等等一系列配套运营工作。譬如,Gartner将安全运营定义为一个“通过一套人、流程和技术来识别和管理暴露、监测、检测和响应网络安全威胁与事件,以提升网络弹性”的过程。同理,SANS则将安全运营的使命定义为“保护业务运营的私密性、完整性和可用性,并最小化非预期事态造成的损失”。
安全运营中心(SOC)作为一个组织单元,不可能承担所有安全运营工作,其工作内容更加聚焦,虽然有很多定义,但基本都围绕狭义的安全运营展开,可以看作是安全运营的一个子集,其它安全运营工作则应由不同的运营组织承担并相互协作。安全运营中心通常是指一个包含一系列流程、人员、技术等的组织单元,核心目标就是抵御网络安全威胁、保障目标网络安全平稳运行。围绕这个目标,通常会对目标网络实施持续的检测、监测、分析、调查、响应、报告、修复。
安全运营中心可以分为威胁事件运营、资产暴露运营、安全漏洞运营、安全情报运营、防御策略运营、态势决策运营6个方面能力。这6个方面既各自独立,又相互关联,形成一个有机的整体。其中,威胁事件运营是所有SOC的基本与核心能力,就是指威胁事件的检测与响应,通常依托于以SIEM或者TDIR为核心的检测与响应技术栈。而资产暴露运营和安全漏洞运营则可以基于CTEM(持续威胁暴露管理),以在事前掌握和完善自身安全防御的姿态,同时又与安全情报运营所依托的TIP一道为SIEM/TDIR提供上下文(情境)信息,提升威胁事件运营的效能。防御策略运营则通过持续的评估、验证和改进来不断提升包括SOC自身在内的防御体系的有效性。最后,态势决策运营持续收集前面5大运营过程中的数据,进行指标计算和态势量化,形成决策,从而动态调整安全保障级别,指挥和调配安全防御力量。
基于上述概念定义,回顾2024年国内外安全运营领域的发展动向,可以从以下几个方面来总结当前安全运营技术的发展特点。早在2015年,Gartner就发表过智能SOC的报告,指出要利用高级安全分析来落地智能化SOC。从那以来,AI和ML的应用主要聚焦到了UEBA、NDR、EDR等细分产品上,并且已经趋于成熟。但这时候AI和ML对包括安全运营在内的安全领域并未掀起太大波澜,属于一种改进型技术,直到2022年底以LLM为代表的GenAI技术的爆火。作为一种颠覆性技术,GenAI很快应用到了安全领域,并首先在安全运营上得到了应用,因为它恰好完美地击中了当下安全运营的三大痛点:人才短缺、工作倦怠(告警疲劳)、技能不足。如果说2023年是各个安全运营厂商对GenAI跑马圈地的一年,那么2024年可以算是GenAI在安全运营领域真正落地的元年,并且几乎都集中在安全运营智能助理(SecOps AI Assistants)这个细分产品上。2024年,基于GenAI的安全运营议题充斥了各大顶级安全会议,从RSAC到Gartner安全峰会,再到SANS的各类峰会。在这一年,各大SOC平台/SIEM厂商纷纷发布基于GenAI的产品或功能。- 5月,Palo Alto Networks正式发布了Precision AI,并且嵌入到其SOC产品Cortex XSIAM之中。
- Sumo Logic发布了基于GenAI的Mo Copilot产品
- Elastic推出了基于Search AI平台构建的AI驱动的安全分析解决方案。
- 4月3日,Fortinet发布了最新版本的操作系统FortiOS7.6,并在其SOC产品中添加了基于GenAI的FortiAI功能,重点赋能FortiSIEM和FortiSOAR产品。
- 4月8日,SentinelOne宣布试运行一年的智能助理产品Purple AI正式上线。
- 在RSAC2024上,Securonix带来了基于其AI增强的CyberOps理念的SOC产品Securonix EON。
- 在RSAC2024上,Exabeam也推出了基于GenAI的SOC产品模块Exabeam Copilot。
- Rapid7推出了基于AWS GenAI解决方案的SOC智能助理。
- Devo推出了Intelligent SIEM,利用GenAI全面升级现有SIEM。
此外,在2024年,CrowdStrike Charlotte AI、微软的Security Copilot,以及Google的Security AI Workbench都进行了大规模的升级。还必须指出的是,以上厂商发布的都是Copilot/智能助理类GenAI应用。而除了这类较为成形的GenAI应用模式,一些初创公司也推出了基于智能体(AI Agent)的AI SOC类产品,譬如DropZone AI、Culminate,等等。随着智能体的爆火,相信未来会有更多基于智能体技术的虚拟安全分析师产品推出。根据笔者的调研,当前,单纯利用GenAI赋能安全运营的整体效果还十分有限,现在谈论替代人类分析师还为时尚早,即便是增强分析师的能力这块也效果一般,目前主要功效还是降低用户使用安全运营系统时的摩擦,改善用户体验。以国外主流的安全运营智能助理为例,对大模型的应用主要还是聚焦于自然语言理解和特定内容生成上,真正的信息查询、威胁检测、响应联动还是依靠现有的安全运营功能。在推荐和预测方面,其实也是基于已有的知识。不仅安全领域,GenAI在其它领域的应用也遭遇瓶颈。正如Garnter的2024年AI技术成熟度曲线所示,GenAI正开始从炒作的顶峰滑向失落区间,相信2025年会更加明显。如何改进?一种思路是不断提升GenAI的技术水平、能力和应用技巧。但更切实际的方法是用更广泛意义的AI和智能体技术去扩展现有的GenAI应用,这就是所谓“复合式AI”(Composite AI)。根据Gartner的定义,复合式AI是指组合利用(或融合)不同AI技术来提高学习效率,以生成层次更丰富的知识表示。复合式AI提供了更丰富的AI抽象机制,并最终提供了⼀个能够以更有效方式解决更广泛业务问题的平台。简而言之,单纯利用GenAI不足以变革安全运营,要将GenAI和传统(符号主义)AI结合使用。也正因如此,笔者将这个章节标题定为AI化,而不是GenAI化。事实上,仔细研究诸如PAN的Precision AI、CrowdStrike的Charlotte AI,或者是Splunk AI,都是一个AI应用功能包的统称,里面有基于GenAI的智能助理,还有各种威胁检测、安全分析、告警分诊、调查响应的AI和ML算法。同时,这些AI之间不是孤立的,不是一个简单的工具箱,而是相关的,借助智能编排和智能体,可以将不同的AI协同起来。在想方设法利用GenAI和其它AI共同促进安全运营的同时,还必须认识到GenAI自身存在的诸多不确定性,譬如安全性、准确性、可解释性、可信度、数据安全与隐私问题,等等。尤其是大模型的生成内容准确性的问题,也就是大模型幻觉/胡言乱语问题,容易让使用者陷入困境,信还是不信?尤其对于初级水平的分析师,可能无法判断大模型给出的方案是否正确,从而可能导致不良后果。而高级分析师也不可能事事都去复核一遍。这就需要建立一套可行的、常态化的验证反馈机制。当前,很多人都在谈论GenAI如何赋能安全运营,但如果不提前把上述风险缓解措施设计好,是无法真正落地任何赋能方案的。而在国内,受到体制机制以及认知的影响,除了要借鉴以上国外同行的发展经验之外,还需要特别面对大模型本地化部署的问题。也正是在这个背景之下,一些国内头部安全厂商为了占得先机而投入到安全垂域大模型的开发上。从2023年到2024年间,国内举办了多次此类发布会。但是,这种本地部署的安全垂域大模型将不可避免地陷入两难。一方面,为了追求本地大模型的质量和速度,必定需要很高的算力,而这个算力的成本会极大推高整个安全投资,并且可能算力投资比安全运营本身的投资还要高。而高企的总投资必定使得大部分客户望而却步,何况GenAI到底能够给安全运营增色多少还尚难量化。另一方面,为了控制成本使得本地大模型能够满足主力客户的投资承受能力,必定需要控制大模型的质量和速度,相当于用户可能被迫要接受使用业界普通(甚至较低)水平的大模型去赋能自身的安全运营,最终赋能效果必定要打折扣,反过来可能影响管理层继续投资大模型的信心。笔者认为,稍有不慎,本地化部署的安全大模型可能就会陷入这种“高不成、低不就”的困局,需要安全大模型厂商们从应用场景的角度出发,精心平衡。此外,安全行业的攻防对抗本质决定了其是一个快速变化的行业,安全数据和知识的急速更新必将导致安全大模型的更新速度必须跟上,使得本地安全大模型的更新维护面临更高挑战。同时,大模型所代表的GenAI领域属于数据驱动的AI,对数据质量和知识管理的水平要求极高,当前国内客户现有数据条件差距明显,所谓的向本地大模型投喂客户自有安全数据和运营知识获得有效成果的概率势必也要大打折扣。综上所述,在2024年,GenAI赋能安全运营的用例更加清晰,智能体等新型应用崭露头角。短期内,需要对GenAI的应用价值建立更为合理的预期,同时关注GenAI自身的安全风险。长期来看,需要建立更为长远的技术路线,不要仅考虑GenAI,而应该将GenAI和其它AI综合使用,采用复合式AI技术。此外,还应做好本地安全垂域大模型的定位。自动化是安全运营的基本需求,更是大规模安全运营的必备能力。2024年11月SANS发布的《检测与响应调研报告》显示,87%的受访者使用了自动化辅助工具去检测威胁,还有64%的组织正在将自动响应机制集成到其安全运营中。经过多年的发展,安全运营中的自动化已经从最早的安全技术或能力的自动化(譬如资产发现自动化、数据采集处理自动化、安全分析自动化,等等)发展到了安全运营流程/过程的自动化(最典型的是SOAR)。安全流程的自动化可以将一系列自动化安全技术衔接起来,形成更大规模的自动化,因而成为安全运营自动化的核心。安全编排技术是安全运营流程自动化的基础,通过编排将流程变成可以机器自动执行的剧本,再通过剧本的运行实现安全运营流程的自动化。一直以来,剧本的编排都是人工编写的,预先设定好的,是一种静态剧本。基于静态剧本,安全运营实现的自动化是一种机械自动化,其特点就是重复不走样,可以帮助分析师处理安全运营过程中的很多固定、重复、无聊、耗时的工作,提升运营效率。但是,网络安全的动态攻防特性决定了很多安全运营的流程需要应时而变,人们不得不持续不断地手工更新剧本,机械自动化的缺陷逐步显露。在2024年5月份的RSAC上,DropZone.AI向大家展示了基于智能体技术的智能机器人SOC分析师。通过智能体的推理、规划和工具调用,系统生成了(隐含的)动态剧本,并自动执行,实现了告警研判和事件响应,展示了安全运营流程的智能自动化的价值,将人们从预先编写剧本并持续更新剧本的繁重负担中解脱出来。从静态剧本到动态剧本,从机械自动化到智能自动化,这是安全运营流程自动化的一次迭代演进。在GenAI的激励下,国际上迅速涌现了多家基于智能体的AI SOAR/SOC公司,如DropZone AI、Culminate等。而放眼国内,可以看到奇安信、雾帜智能等公司的SOAR产品也正在利用GenAI/AI,向智能编排、动态剧本生成和智能自动化方向演进。除了智能编排与自动化,传统的静态编排自动化也还有提升的空间。有的公司从低代码/无代码开发的角度去降低剧本的开发门槛,或者内置更多开箱即用的剧本,等等。还有的公司也在思考对剧本进行分层,让剧本更易于组装、复用、快速更新。SANS 2024年的《SOC调查报告》显示,缺乏编排与自动化是SOC面临的最大挑战。多年来,SIEM/SOC厂商们一直在布局SOAR。如上图所示,入围Gartner2024年SIEM魔力象限的所有SIEM厂商都有SOAR,要么自研,要么收购(主要方式),要么是SIEM产品中的一个模块,要么是SIEM产品套件中的一个子产品。而国内,主要SOC平台厂商都集成了SOAR模块,有的还提供独立SOAR。除了成为SIEM/SOC的一部分,还有一些传统的SOAR公司开始向更广泛的安全运营领域转型,譬如Torq、Swimlane转型成为AI SOC厂商,还有的甚至跳出安全,成为通用型智能流程自动化工具,譬如Tines。自动化如此重要,SOAR已经成为安全运营必不可少的一部分,SIEM厂商和其它DR厂商纷纷在自己产品中集成SOAR。终于,Gartner在2024年的安全运营技术成熟度曲线中,将SOAR标定为“过时”,认为SOAR已经融入到SIEM或者其它DR类产品中成为其中一项功能或能力,独立SOAR市场将成为非主流。不过,笔者认为在国内现阶段其实更加需要独立SOAR产品。因为当前国内大部分客户的SOC/SIEM平台都不具备SOAR能力。在用户彻底更换为下一代具有SOAR功能的SOC平台之前,还需要购买独立SOAR来弥补现有平台的这部分不足。而鉴于当前的中国经济发展状况,用户花费大量资金投资于下一代SOC替换以前大额投资的意愿不高,会倾向于采用“向存量投资要效益"和"查漏补缺"的方式来完善其SOC平台。此外,GenAI赋能的安全运营向动态编排、智能自动化演进才刚刚开始,尽管前景可观,但受限于目前GenAI以及智能体技术还不够成熟,现阶段不要对此有过高的期待。AI SOAR将取代传统SOAR,但不是现在。如果说SOAR已死,并不是SOAR技术已死,即便是机械式自动化也还大有可为。综上所述,在2024年,编排自动化已经成为SOC平台的基础能力,SOAR正在与SIEM/SOC平台融合。与此同时,在GenAI和智能体技术的加持下,编排正在经历一场从静态剧本到动态剧本的升级,传统的机械式自动化正在向智能自动化演进,并成为AI SOC的关键能力。但是,请谨记,在可见的未来,安全运营还不可能实现完全的自动化(即所谓“自主化”)。从安全运营中心的6大运营来看,核心的威胁事件运营聚焦于安全事件发生之时以及之后,强调快速检测、快速响应,属于事中和事后的被动环节。显然,要做好安全运营,还必须强化事前性工作,包括资产运营和漏洞运营,实现主动化安全运营,减轻威胁事件运营的压力,并为威胁事件分析提供上下文。随着组织攻击面的不断扩展,传统的资产和漏洞管理技术手段已经难以帮助组织盘清资产及其暴露,造成了运营的盲点。因此,结合攻击者视角的攻击面评估应运而生,后来又进一步扩展为暴露评估,并与对抗性暴露验证一道,组合形成了持续威胁暴露管理(CTEM)的理念。攻击面评估以及暴露管理的理念在最近三年一直位于Gartner年度网络安全顶级趋势之列。进入2024年,在暴露管理领域,一个比较显著的市场变化就是暴露管理平台的逐步形成,现有的漏洞管理(VM)厂商、攻击面管理(ASM)厂商,甚至是BAS厂商,都开始扩展自己的产品边界,向暴露管理平台方向发力。与此同时,SOC厂商开始集成暴露管理平台,将其作为SOC平台的一个组成部件,譬如Palo Alto Networks的XSIAM中就集成了之前收购来的Xpanse暴露管理组件,CrowdStrike在其所谓原生AI SOC平台中也集成了暴露管理。而就在11月,微软正式发布了安全暴露管理产品,并能够与其Sentinel SIEM产品整合。视线放回国内,头部的SOC平台厂商也纷纷布局暴露管理领域,但主要聚焦在攻击面管理产品或功能组件上。同时,一些国内初创的攻击面管理厂商、BAS厂商、漏洞管理厂商,甚至XDR厂商,也开始跨界发展,布局综合性暴露管理平台产品。必须指出,在CTEM之前,资产运营和漏洞运营就已经是安全运营的组成部分,以前的SOC平台一直就具备资产和漏洞管理功能。通过对比,可以发现,CTEM语境下的资产运营和漏洞运营相较于以往在技术上有重大突破。以ASM为基础的资产运营极大地丰富了资产发现的手段,通过攻击者视角的攻击面发现与评估,能够极大地弥补传统资产清点方式的不足。同时,以BAS为代表的对抗性暴露验证技术能够帮助组织识别真实的风险,并且给出置信度极高的风险排序。而进一步来看,在暴露管理技术的加持下,组织真正实现了资产运营和漏洞运营。相比之下,以往只能叫资产管理和漏洞管理,也就是对资产安全信息和漏洞信息进行导入、整理维护,为威胁事件运营提供上下文。这个管理维护工作是十分滞后的、低效的,资产和漏洞信息的质量很低,无法真正为威胁事件分析研判提供依据。而有了暴露管理之后,通过多源资产和漏洞数据融合和分析、能够对数据进行持续运营,持续维持相关数据的一致性和有效性,数据质量大大提升。而这个对多源资产和漏洞数据进行采集、融合、分析研判的过程恰恰体现了资产运营和漏洞运营的精髓。综上所述,在2024年,暴露管理正在成为SOC平台的必备主动化运营能力支撑。同时,攻击面管理产品、漏洞管理产品、BAS产品正在相互渗透融合,共同形成暴露管理平台。从多个角度来看,网络安全的碎片化问题都十分严重,这不仅体现在多如牛毛的安全厂商,也表现在碎片化的安全解决方案和产品,即便经济不景气的时候,也没有多少好转。国内的碎片化现象则更加显著。业内人士常说:“安全厂商永远在整合,但永远也整合不完”。国外有研究表明,平均每个组织的使用超过43种网络安全产品,还有5%的组织使用超过100种产品。进一步探究,碎片化的安全解决方案及产品的出现源于层出不穷、永不止境的安全新威胁,这是网络安全的本质决定的,无法改变。但碎片化造成的安全运营的复杂度和难度急剧上升则是可以想办法予以缓解的,于是就出现了供应商整合(Vendor Consolidation)这个概念。这里的整合不仅包括狭义的供应商产品的合并和数量的减少,更包括基于平台的跨供应商产品集成与组合。总之,整合的目标就是要让用户在安全运营的时候感到简单,并降低整个运营周期的维护成本。举个例子,一个厂商预先将SIEM、SOAR、EDR、NDR、ASM、甚至TIP等等安全运营的相关系统整合到一个安全运营平台/SOC平台之中,就是一种典型的整合。根据Gartner的最新预测,到2028年,随着整合的深化,45%的组织将在其产品组合中使用少于15 种网络安全工具。不过笔者认为这个预测过于乐观了。聚焦安全运营,整合化已然成为2024年的主旋律。但业界的整合者们正在朝着两个不同的方向前进。一类是所谓的融合安全平台厂商。它是一套融合了多种安全产品功能的模块化单一型产品,将原来满足特定领域需求的分散于多种安全产品中的功能融合到一起,形成一个单一的产品,以实现覆盖这个特定领域的全生命周期的各种功能。这个融合安全平台不是简单的解决方案,也不是产品集成,而是更为深度的产品融合,笔者称之为全家桶2.0。平台通常具有统一的管理控制台,统一的数据存储,高度一致的用户体验,等等。融合安全平台存在于多个安全领域,譬如融合端点安全、邮件安全的工作空间安全平台,或者融合服务器安全、CNAPP、应用安全的工作负载安全平台,以及面向安全运营的融合性安全运营平台,甚至XDR也可以属于此列。在安全运营领域,业界典型的融合性安全运营平台包括:Palo Alto Networks的XSIAM,CrowdStrike的AI SOC,微软的统一安全运营平台,等等。此外,XDR、暴露管理平台本质上也是秉持这个理念,只是功能范围没有融合安全运营平台那么大。另一类是以Gartner的CSMA(网络安全网格架构)为代表的开放性集成平台厂商,笔者称之为集成安全平台【尽管在美国,安全平台已经要成为融合安全平台的代名词了,但笔者认为安全平台这个中性术语不应被绑架】。在安全运营领域,集成安全运营平台遵循的理念与现有SOC平台是一脉相承的,它强调基于开放(数据和接口等)标准和规范实现异构供应商和产品的整合与协同。目前,大部分SOC厂商属于这个阵营。视线放到国内,笔者还未看到真正的融合性安全运营平台厂商,深信服的XDR平台可以算是初步具备了这个气质。而集成性安全运营平台虽然覆盖了大部分SOC厂商,但由于缺乏规范、缺少生态,导致集成度表现得参差不齐。都是整合,都是为了降低用户使用安全运营平台的难度和成本,提升安全运营的效率,但却发展出了两条相反的产品策略。对融合安全运营平台而言,显然具有高度一致的用户使用体验,更统一的架构设计和更清晰的功能模块,以及更简洁的采购过程和更低的维护成本。但风险在于容易形成单一供应商锁定,而且是大范围的锁定,同时更容易成为单一故障点,并且可能由于竞争原因而难以与必须采购的额外安全运营工具有效对接。对集成安全运营平台而言,情况恰恰相反。平台的开放性决定了其能够更好地与众多异构安全系统和工具对接,具有更好的扩展性,集成带来的冗余也为实现安全弹性创造了有利条件。问题则在于相对更复杂的用户使用体验,并且使用界面的一致性和连续性难免会有所欠缺。然而,开放性价值的实现受限于跨厂商和产品的互操作规范以及接口的成熟度。尽管业内很多大咖(譬如ESG的Jon Oltsik),一众初创的细分领域特色公司,甚至Gartner都在极力鼓吹开放的、网格化的集成安全运营平台,但奉行单一融合安全运营平台路线的急先锋Palo Alto Networks却用屡创新高的业绩给予有力回应。更令人吃惊的是,PAN为了快速扩张自己的融合安全运营平台XSIAM的市场,直接打包买下了IBM的QRadar,但购买的目的不是为了继续维护QRadar这个品牌,而只是为了获得IBM的SOC客户,将XSIAM替换掉QRadar!PAN对自己产品和业务模式的自信心可见一斑。笔者分析,至少有一点对融合安全运营平台是有利的,即“天下苦SIEM久矣”,而简单才是王道。笔者的观点,用户需要简单高效的安全运营,需要一致的用户体验。与此同时,世界上没有包打天下的安全运营平台,未来需要将融合和集成两种技术路线搭配使用,形成更为平衡的整合安全运营平台。而这,首先需要在技术架构上进行重构。综上所述,在2024年,采用融合路线的整合安全运营平台异军突起,准确抓住了当前安全运营的痛点,但需要警惕过度的供应商整合,未来宜采用更为平衡的整合路线。2012年,Gartner发布了一份名为《信息安全正在成为大数据分析问题》的报告,揭开了数据驱动安全时代的序幕。在2015年,“数据驱动安全”成为了中国网络安全业界的顶流,笔者也在那年提出了以数据为核心的“SOC3.0”理念。
在数据驱动安全口号的带动下,大数据架构以及融合大数据的安全分析技术在SOC平台种得到了充分的应用。但经过这些年的发展,现有基于大数据的SOC平台架构再次遭遇瓶颈,面临诸多挑战,譬如:边缘检测的兴起引发了数据引力问题,并带来了数据移动的困难;天量安全数据的长周期存储需求与高成本之间的矛盾日益突出;SOC没有也无法成为唯一的企业安全数据湖导致的数据孤岛使得跨数据存储的安全运营面临挑战;日益复杂的安全数据自身的安全与隐私问题对现有数据架构提出了各种挑战;等等。更重要的是,为了实现安全运营的AI化、自动化、整合化,现有的SOC平台技术架构明显有心无力,难以支撑。
为了应对上述挑战,就需要对现有的SOC技术架构,尤其是安全数据架构进行革新。在新一代安全数据架构创新方面,有的聚焦于云原生,有的聚焦于数据湖仓,还有的聚焦分布式查询引擎。如果要用一个词来描述新一代安全数据架构的话,笔者当前选择 “数据管道”【注1】这个词。数据管道以一种统一、全面和简洁的机制来管理源到目的地的安全数据的收集、提取、丰富、转换和路由,并贯穿安全运营的检测与响应全过程。
【注1】用一个词来指代用于SOC平台的新一代安全数据架构并不容易,可以选择的词除了“管道化”,还有“编排化”等。由于编排已经在SOAR领域广为人知,为了避免引起混淆,笔者暂定使用“管道化“这个词。
市场格局
国际上,2024年涌现出了很多基于新一代安全数据架构的安全运营平台,主要集中在各种初创公司,如AbstracSecurity、AnviLogic、Auguria(背后是SentinelOne)、Cribl(背后是CrowdStrike)、Panther、Substation,等等。此外,擅长云数据管理的Snowflake凭借其先进的安全数据技术栈,也开始跨界进入这个领域。
反观国内,就笔者所见,只有很少的几个创业公司在这个领域耕耘。人们更多将目光聚焦到了新的应用技术(如GenAI应用)和功能扩充(如主动化)上,缺少对现在安全运营技术架构的创新和突破。
现状思考
相较于前面4种特点(AI化、自动化、主动化、整合化),面向新一代安全数据架构的管道化尚未得到广泛的认知。Gartner也仅仅是在2024年的安全运营技术成熟度报告中有所提及,但也仅仅是笔者所指管道化概念的子集。而Forrester也是才开始关注到这个变革(Allie Mellen在2024年11月12日发布的博客中表示打算发表这方面的研究报告)。
笔者认为,新一代安全数据架构是对现有数据驱动安全理念的深化和重塑!唯有采用新的数据架构,才能支撑数据驱动安全的未来发展。
如果说AI(尤其是GenAI)将重塑安全,那么AI应用成功的基石是什么?是数据!如果没有标准化、逻辑统一和高质量的安全数据、安全情报、安全知识,AI应用的结果也只能还是“垃圾进,垃圾出”。现有的数据架构对此已经无能为力,需要重构,而数据管道化恰恰给了安全运营一个机会,能够基于数据工程,建立起持续改进的数据治理与管理能力。
如果说安全运营(尤其是规模化安全运营)必须依赖自动化,那么自动化成功的基石是什么?是编排!没错,安全运营流程(譬如响应流程)需要编排,数据的处理流转过程也需要编排。编排代表了解决某个问题的思路和过程。无论是人工预先编排,还是GenAI智能编排,只有在形成了一个个解决具体问题的剧本后,自动化才能发挥作用,将这个解决问题的过程形成规模化。而要实现数据可编排,就必须先实现数据管道化,但现有的数据架构对此已经无能为力,需要重构。只有数据架构在技术上实现了管道化,才能让安全运营在应用层面实施各种编排,就如同进行各种管道的组合(如分支、合并、转换)。
数据管道化不仅针对日志、事态和安全事件,也针对资产、漏洞、情报等等主动安全运营所需的各种数据,以及其它各种上下文(情境)数据。所有数据流转都必须建立的统一的数据管道之上,让各类数据在统一的管道中汇聚、关联,如此,才能实现真正有效的主动化安全运营。现有的数据架构将上述数据分割对待,需要重构。
而一旦实现了基于数据管道的新一代数据架构,在此之上的安全运营架构就能更好地支撑各种能力整合(包括融合和集成)。这时,数据管道就相当于一条数据总线,可以将不同的安全能力中的数据整合到一起。
其实,美国政府已经意识到了这个问题,并已经开始从数据架构入手,重塑他们的安全运营技术架构。这也是他们将国家级态势感知项目从NCPS(National Cybersecurity Protection System,国家网空安全保护系统,俗称爱因斯坦计划)升级到CADS(Cyber Analytics and Data System,网络分析与数据系统)的一个重要原因。根据他们的定义,CADS提供了一个强大且可伸缩的分析环境,能够集成数据集并提供工具和功能。CADS工具和能力将促进数据的摄取和集成,并通过对数据分析(过程)的编排和自动化,以支持快速识别、检测、缓解和阻断恶意网络活动。
小结
当前的SOC平台技术架构遇到了发展瓶颈,底层的数据架构无法支撑其实现数据驱动安全的目标价值,需要进行重塑。以数据管道化为代表的新一代安全数据架构正在脱颖而出。
安全运营中心不承担安全运营的所有工作。正确界定安全运营中心与安全运营的关系才能更好地推动安全运营的发展。回顾2024年,安全运营技术取得了长足的进步:AI(尤其是GenAI)让安全运营更加智能高效;AI让编排更智能并进而带动实现大规模自动化;主动化让安全运营更加完整;整合化让安全运营更加简单;管道化重塑安全数据架构为真正实现数据驱动安全运营提供支撑。最后,安全运营当前呈现出来的这些特点之间是相互关联、相互作用、相互转化的,不能孤立的去看。以数据为核心的SOC3.0时代到来:https://blog.51cto.com/yepeng/1729338大数据分析——信息安全下一站:https://blog.51cto.com/yepeng/1630748Gartner:智能SOC/情报驱动的SOC的五大特征:https://blog.51cto.com/yepeng/1718678