2024年平安运营五大环节词
|
回顾2024年,正在演变和新兴手艺的叠加感化下,平安运营(SecOps)手艺的迭代正正在加快,平安运营的手艺平台正正在持续沉构。若是用几个环节词来勾勒2024年的平安运营手艺成长特点的话,笔者选择:AI化、从动化、自动化、整合化、管道化。平安运营(SecOps)是一个很宽泛的概念。若是我们把整个平安生命周期分为规划、扶植、运营三个部门的话,平安运营的过程将陪伴企业组织的终身。因而,正在最普遍意义上,能够把平安运营看做是持续不竭地保障方针收集平安平稳运转,告竣组织营业计谋方针的永续过程,以及正在这个过程中开展的各项运营工做。平安运营核心(SOC)做为一个组织单位,不成能承担所有平安运营工做,其工做内容愈加聚焦,虽然有良多定义,但根基都环绕狭义的平安运营展开,能够看做是平安运营的一个子集,其它平安运营工做则应由分歧的运营组织承担并彼此协做。平安运营核心凡是是指一个包含一系列流程、人员、手艺等的组织单位,焦点方针就是抵御收集平安、保障方针收集平安平稳运转。环绕这个方针,凡是会对方针收集实施持续的检测、监测、阐发、查询拜访、响应、演讲、修复。平安运营核心能够分为事务运营、资产运营、平安缝隙运营、平安谍报运营、防御策略运营、态势决策运营6个方面能力。这6个方面既各自,又彼此联系关系,构成一个无机的全体。此中,事务运营是所有SOC的根基取焦点能力,就是指事务的检测取响应,凡是依托于以SIEM或者TDIR为焦点的检测取响应手艺栈。而资产运营和平安缝隙运营则能够基于CTEM(持续办理),以正在事前控制和完美本身平安防御的姿势,同时又取平安谍报运营所依托的TIP一道为SIEM/TDIR供给上下文(情境)消息,提拔事务运营的效能。防御策略运营则通过持续的评估、验证和改良来不竭提拔包罗SOC本身正在内的防御系统的无效性。最初,态势决策运营持续收集前面5大运营过程中的数据,进行目标计较和态势量化,构成决策,从而动态调整平安保障级别,批示和调配平安防御力量。基于上述概念定义,回首2024年国表里平安运营范畴的成长动向,能够从以下几个方面来总结当前平安运营手艺的成长特点。早正在2015年,Gartner就颁发过智能SOC的演讲,指出要操纵高级平安阐发来落地智能化SOC。从那以来,AI和ML的使用次要聚焦到了UEBA、NDR、EDR等细分产物上,而且曾经趋于成熟。但这时候AI和ML对包罗平安运营正在内的平安范畴并未掀起太大波涛,属于一种改良型手艺,曲到2022岁尾以LLM为代表的GenAI手艺的爆火。做为一种性手艺,GenAI很快使用到了平安范畴,并起首正在平安运营上获得了使用,由于它刚好完满地击中了当下平安运营的三大痛点:人才欠缺、工做疲倦(告警委靡)、技术不脚。若是说2023年是各个平安运营厂商对GenAI赛马圈地的一年,那么2024年能够算是GenAI正在平安运营范畴实正落地的元年,而且几乎都集中正在平安运营智能帮理(SecOps AI Assistants)这个细分产物上。2024年,基于GenAI的平安运营议题了各大平安会议,从RSAC到Gartner平安峰会,再到SANS的各类峰会。还必需指出的是,以上厂商发布的都是Copilot/智能帮理类GenAI使用。而除了这类较为成形的GenAI使用模式,一些草创公司也推出了基于智能体(AI Agent)的AI SOC类产物,譬如DropZone AI、Culminate,等等。跟着智能体的爆火,相信将来会有更多基于智能体手艺的虚拟平安阐发师产物推出。视线回到国内,GenAI同样平安范畴,特别是平安运营。数说平安颁发的《2024收集平安十大立异标的目的》演讲中,GenAI+平安运营位列此中。IDC中国发布了大模子赋能平安运营的洞察演讲,并对国内支流厂商基于GenAI的平安运营使用程度进行了一次实测。2024年,国内支流的SOC平台厂商根基上都推出了GenAI使用,虽然总体使用程度距离国外大厂还有必然差距。按照笔者的调研,纯真操纵GenAI赋能平安运营的全体结果还十分无限,现正在谈论替代人类阐发师还为时髦早,即即是加强阐发师的能力这块也结果一般,目上次要功能仍是降低用户利用平安运营系统时的摩擦,改善用户体验。以国外支流的平安运营智能帮理为例,对大模子的使用次要仍是聚焦于天然言语理解和特定内容生成上,实正的消息查询、检测、响应联动仍是依托现有的平安运营功能。正在保举和预测方面,其实也是基于已有的学问。不只平安范畴,GenAI正在其它范畴的使用也瓶颈。正如Garnter的2024年AI手艺成熟度曲线所示,GenAI正起头从炒做的颠峰滑向失落区间,相信2025年会愈加较着。若何改良?一种思是不竭提拔GenAI的手艺程度、能力和使用技巧。但更切现实的方式是用更普遍意义的AI和智能体手艺去扩展示有的GenAI使用,这就是所谓“复合式AI”(Composite AI)。按照Gartner的定义,复合式AI是指组合操纵(或融合)分歧AI手艺来提高进修效率,以生成条理更丰硕的学问暗示。复合式AI供给了更丰硕的AI笼统机制,并最终供给了⼀个可以或许以更无效体例处理更普遍营业问题的平台。简而言之,纯真操纵GenAI不脚以变化平安运营,要将GenAI和保守(符号从义)AI连系利用。也正因如斯,笔者将这个章节题目定为AI化,而不是GenAI化。现实上,细心研究诸如PAN的Precision AI、CrowdStrike的Charlotte AI,或者是Splunk AI,都是一个AI使用功能包的统称,里面有基于GenAI的智能帮理,还有各类检测、平安阐发、告警分诊、查询拜访响应的AI和ML算法。同时,这些AI之间不是孤立的,不是一个简单的东西箱,而是相关的,借帮智能编排和智能体,能够将分歧的AI协同起来。正在想方设法操纵GenAI和其它AI配合推进平安运营的同时,还必需认识到GenAI本身存正在的诸多不确定性,譬如平安性、精确性、可注释性、可托度、数据平安取现私问题,等等。特别是大模子的生成内容精确性的问题,也就是大模子/问题,容易让利用者陷入窘境,信仍是不信?特别对于初级程度的阐发师,可能无法判断大模子给出的方案能否准确,从而可能导致不良后果。而高级阐发师也不成事都去复核一遍。这就需要成立一套可行的、常态化的验证反馈机制。当前,良多人都正在谈论GenAI若何赋能平安运营,但若是不提前把上述风险缓解办法设想好,是无法实正落地任何赋能方案的。而正在国内,遭到体系体例机制以及认知的影响,除了要自创以上国外同业的成长经验之外,还需要出格面临大模子当地化摆设的问题。也恰是正在这个布景之下,一些国内头部平安厂商为了占得先机而投入到平安垂域大模子的开辟上。从2023年到2024年间,国内举办了多次此类发布会。可是,笔者认为,稍有不慎,当地化摆设的平安大模子可能就会陷入 “高不成、低不就”的困局,需要平安大模子厂商们细心均衡。综上所述,正在2024年,GenAI赋能平安运营的用例愈加清晰,智能体等新型使用崭露头角。短期内,需要对GenAI的使用价值成立更为合理的预期,同时关心GenAI本身的平安风险。持久来看,需要成立更为久远的手艺线,不要仅考虑GenAI,而该当将GenAI和其它AI分析利用,采用复合式AI手艺。此外,还应做好当地平安垂域大模子的定位。从动化是平安运营的根基需求,更是大规模平安运营的必备能力。2024年11月SANS发布的《检测取响应调研演讲》显示,87%的受访者利用了从动化辅帮东西去检测,还有64%的组织正正在将从动响应机制集成到其平安运营中。颠末多年的成长,平安运营中的从动化曾经从最早的平安手艺或能力的从动化(譬如资产发觉从动化、数据采集处置从动化、平安阐发从动化,等等)成长到了平安运营流程/过程的从动化(最典型的是SOAR)。平安流程的从动化能够将一系列从动化平安手艺跟尾起来,构成更大规模的从动化,因此成为平安运营从动化的焦点。平安编排手艺是平安运营流程从动化的根本,通过编排将流程变成能够机械从动施行的脚本,再通过脚本的运转实现平安运营流程的从动化。一曲以来,脚本的编排都是人工编写的,事后设定好的,是一种静态脚本。基于静态脚本,平安运营实现的从动化是一种机械从动化,其特点就是反复不走样,能够帮帮阐发师处置平安运营过程中的良多固定、反复、无聊、耗时的工做,提拔运营效率。可是,收集平安的动态攻防特征决定了良多平安运营的流程需要应时而变,人们不得不持续不竭地手工更新脚本,机械从动化的缺陷逐渐显露。正在2024年5月份的RSAC立异沙盒决赛上,DropZone。AI向大师展现了基于智能体手艺的智能机械人SOC阐发师。通过智能体的推理、规划和东西挪用,系统生成(现含的)动态脚本,并从动施行,实现了告警研判和事务响应,展现了平安运营流程的智能从动化的价值,将人们处置后编写脚本并持续更新脚本的繁沉承担中出来。正在GenAI的激励下,如DropZone AI、Culminate等。而放眼国内,有几家公司的SOAR产物也正正在操纵GenAI/AI,向智能编排、动态脚本生成和智能从动化标的目的演进。除了智能编排取从动化,保守的静态编排从动化也还有提拔的空间。有的公司从低代码/无代码开辟的角度去降低脚本的开辟门槛,或者内置更多开箱即用的脚本,等等。还有的公司也正在思虑对脚本进行分层,让脚本更易于拆卸、复用、快速更新。SANS 2024年的《SOC查询拜访演讲》显示,缺乏编排取从动化是SOC面对的最大挑和。多年来,SIEM/SOC厂商们一曲正在结构SOAR。 |
从动化如斯主要,SOAR曾经成为平安运营必不成少的一部门,SIEM厂商和其它DR厂商纷纷正在本人产物中集成SOAR。终究,Gartner正在2024年的平安运营手艺成熟度曲线中,将SOAR标定为“过时”,认为SOAR曾经融入到SIEM或者其它DR类产物中成为此中一项功能或能力,SOAR市场将成为非支流。不外,笔者认为正在国内现阶段其实愈加需要SOAR产物。由于当前国内大部门客户的SOC/SIEM平台都不具备SOAR能力。正在用户完全改换为下一代具有SOAR功能的SOC平台之前,还需要采办SOAR来填补现有平台的这部门不脚。而鉴于当前的中国经济成长情况,用户破费大量资金投资于下一代SOC替代以前大额投资的志愿不高,会倾向于采用“向存量投资要效益和查漏补缺的体例来完美其SOC平台。此外,GenAI赋能的平安运营向动态编排、智能从动化演进才方才起头,虽然前景可不雅,但受限于目前GenAI以及智能体手艺还不敷成熟,现阶段不要对此有过高的等候。AI SOAR将代替保守SOAR,但不是现正在。若是说SOAR已死,并不是SOAR手艺已死,即即是机械式从动化也还大有可为。综上所述,正在2024年,编排从动化曾经成为SOC平台的根本能力,SOAR正正在取SIEM/SOC平台融合。取此同时,正在GenAI和智能体手艺的下,编排正正在履历一场从静态脚本到动态脚本的升级,保守的机械式从动化正正在向智能从动化演进,并成为AI SOC的环节能力。可是,请谨记,正在可见的将来,平安运营还不成能实现完全的从动化(即所谓“自从化”)。从平安运营核心的6大运营来看,焦点的事务运营聚焦于平安事务发生之时以及之后,强调快速检测、快速响应,属于事中和过后的被动环节。明显,要做好平安运营,还必需强化事前性工做,包罗资产运营和缝隙运营,实现自动化平安运营,减轻事务运营的压力,并为事务阐发供给上下文。跟着组织面的不竭扩展,保守的资产和缝隙办理手艺手段曾经难以帮帮组织盘清资产及其,形成了运营的盲点。因而,连系者视角的面评估应运而生,后来又进一步扩展为评估,并取匹敌性验证一道,组合构成了持续办理(CTEM)的。面评估以及办理的正在比来三年一曲位于Gartner年度收集平安趋向之列。进入2024年,正在办理范畴,一个比力显著的市场变化就是办理平台的逐渐构成,现有的缝隙办理(VM)厂商、面办理(ASM)厂商,以至是BAS厂商,都起头扩展本人的产物鸿沟,向办理平台标的目的发力。取此同时,SOC厂商起头集成办理平台,将其做为SOC平台的一个构成部件,譬如Palo Alto Networks的XSIAM中就集成了之前收购来的Xpanse办理组件,CrowdStrike正在其所谓原生AI SOC平台中也集成了办理。而就正在11月,微软正式发布了平安办理产物,并可以或许取其Sentinel SIEM产物整合。视线放回国内,头部的SOC平台厂商也纷纷结构办理范畴,但次要聚焦正在面办理产物或功能组件上。同时,一些国内草创的面办理厂商、BAS厂商、缝隙办理厂商,以至XDR厂商,也起头跨界成长,结构分析性办理平台产物。必需指出,正在CTEM之前,资产运营和缝隙运营就曾经是平安运营的构成部门,以前的SOC平台一曲就具备资产和缝隙办理功能。而进一步来看,正在办理手艺的下,组织实正实现了资产运营和缝隙运营。比拟之下,以往只能叫资产办理和缝隙办理,也就是对资产平安消息和缝隙消息进行导入、拾掇,为事务运营供给上下文。这个办理工做是十分畅后的、低效的,资产和缝隙消息的质量很低,而有了办理之后,通过多源资产和缝隙数据融合和阐发、可以或许对数据进行持续运营,持续维持相关数据的分歧性和无效性,数据质量大大提拔。而这个对多源资产和缝隙数据进行采集、融合、阐发研判的过程恰好表现了资产运营和缝隙运营的精髓。综上所述,正在2024年,办理正正在成为SOC平台的必备自动化运营能力支持。同时,面办理产物、缝隙办理产物、BAS产物正正在彼此渗入融合,配合构成办理平台。从多个角度来看,收集平安的碎片化问题都十分严沉,这不只表现正在不可偻指算的平安厂商,也表示正在碎片化的平安处理方案和产物,即便经济不景气的时候,也没有几多好转。国内的碎片化现象则愈加显著。业内人士常说:“平安厂商永久正在整合,但永久也整合不完”。国外有研究表白,平均每个组织的利用跨越43种收集平安产物,还有5%的组织利用跨越100种产物。进一步探究,碎片化的平安处理方案及产物的呈现源于屡见不鲜、永不尽头的平安新,这是收集平安的素质决定的,无法改变。但碎片化形成的平安运营的复杂度和难度急剧上升则是能够想法子予以缓解的,于是就呈现了供应商整合(Vendor Consolidation)这个概念。这里的整合不只包罗狭义的供应商产物的归并和数量的削减,更包罗基于平台的跨供应商产物集成取组合。总之,整合的方针就是要让用户正在平安运营的时候感应简单,并降低整个运营周期的成本。举个例子,一个厂商事后将SIEM、SOAR、EDR、NDR、ASM、以至TIP等等平安运营的相关系统整合到一个平安运营平台/SOC平台之中,就是一种典型的整合。按照Gartner的最新预测,到2028年,跟着整合的深化,45%的组织将正在其产物组合中利用少于15 种收集平安东西。不外笔者认为这个预测过于乐不雅了。聚焦平安运营,整合化已然成为2024年的从旋律。但业界的整合者们正正在野着两个分歧的标的目的前进。一类是所谓的融合平安平台厂商。它是一套融合了多种平安产物功能的模块化单一型产物,将本来满脚特定范畴需求的分离于多种平安产物中的功能融合到一路,构成一个单一的产物,以实现笼盖这个特定范畴的全生命周期的各类功能。这个融合平安平台不是简单的处理方案,也不是产物集成,而是更为深度的产物融合,笔者称之为全家桶2。0。平台凡是具有同一的办理节制台,同一的数据存储,高度分歧的用户体验,等等。融合平安平台存正在于多个平安范畴,譬如融合端点平安、邮件平安的工做空间平安平台,或者融合办事器平安、CNAPP、使用平安的工做负载平安平台,以及面向平安运营的融合性平安运营平台,以至XDR也能够属于此列。正在平安运营范畴,业界典型的融合性平安运营平台包罗:Palo Alto Networks的XSIAM,CrowdStrike的AI SOC,微软的同一平安运营平台,等等。此外,XDR、办理平台素质上也是这个,只是功能范畴没有融合平安运营平台那么大。另一类是以Gartner的CSMA(收集平安网格架构)为代表的性集成平台厂商,笔者称之为集成平安平台【虽然正在美国,平安平台曾经要成为融合平安平台的代名词了,但笔者认为平安平台这个中性术语不该被】。正在平安运营范畴,集成平安运营平台遵照的取现有SOC平台是一脉相承的,它强调基于(数据和接口等)尺度和规范实现异构供应商和产物的整合取协同。目前,大部门SOC厂商属于这个阵营。视线放到国内,有个体厂商曾经起头正在融合性平安运营平台标的目的测验考试。而集成性平安运营平台虽然笼盖了大部门SOC厂商,但因为缺乏规范、贫乏生态,导致集成度表示得参差不齐。都是整合,都是为了降低用户利用平安运营平台的难度和成本,提拔平安运营的效率,但却成长出了两条相反的产物策略。对融合平安运营平台而言,明显具有高度分歧的用户利用体验,更同一的架构设想和更清晰的功能模块,以及更简练的采购过程和更低的成本。但风险正在于容易构成单一供应商锁定,并且是大范畴的锁定,同时更容易成为单一毛病点,而且可能因为合作缘由而难以取必需采购的额外平安运营东西无效对接。对集成平安运营平台而言,环境恰好相反。平台的性决定了其可以或许更好地取浩繁异构平安系统和东西对接,具有更好的扩展性,集成带来的冗余也为实现平安弹性创制了有益前提。问题则正在于相对更复杂的用户利用体验,而且利用界面的分歧性和持续性不免会有所欠缺。然而,性价值的实现受限于跨厂商和产物的互操做规范以及接口的成熟度。虽然业内良多大咖(譬如ESG的Jon Oltsik),一众草创的细分范畴特色公司,以至Gartner都正在死力鼓吹的、网格化的集成平安运营平台,但奉行单一融合平安运营平台线的Palo Alto Networks却用屡立异高的业绩赐与无力回应。更令人惊讶的是,PAN为了快速扩张本人的融合平安运营平台XSIAM的市场,间接打包买下了IBM的QRadar,但采办的目标不是为了继续QRadar这个品牌,而只是为了获得IBM的SOC客户,将XSIAM替代掉QRadar!PAN对本人产物和营业模式的自傲心可见一斑。笔者阐发,至多有一点对融合平安运营平台是有益的,即“全国苦SIEM久矣”,而简单才是。笔者的概念,用户需要简单高效的平安运营,需要分歧的用户体验。取此同时,世界上没有包打全国的平安运营平台,将来需要将融合和集成两种手艺线搭配利用,构成更为均衡的整合平安运营平台。而这,起首需要正在手艺架构长进行沉构。综上所述,正在2024年,采用融合线的整合平安运营平台异军突起,精确抓住了当前平安运营的痛点,但需要过度的供应商整合,将来宜采用更为均衡的整合线。2012年,Gartner发布了一份名为《消息平安正正在成为大数据阐发问题》的演讲,揭开了数据驱动平安时代的序幕。正在2015年,“数据驱动平安”成为了中国收集平安业界的顶流,笔者也正在那年提出了以数据为焦点的“SOC3。0”。正在数据驱动平安标语的带动下,大数据架构以及融合大数据的平安阐发手艺正在SOC平台种获得了充实的使用。但颠末这些年的成长,现有基于大数据的SOC平台架构再次瓶颈,面对诸多挑和,譬如:边缘检测的兴起激发了数据引力问题,并带来了数据挪动的坚苦;天量平安数据的长周期存储需求取高成本之间的矛盾日益凸起;SOC没有也无法成为独一的企业平安数据湖导致的数据孤岛使得跨数据存储的平安运营面对挑和;日益复杂的平安数据本身平安取现私问题对现无数据架构提出了各类挑和;等等。更主要的是,为了实现平安运营的AI化、从动化、整合化,现有的SOC平台手艺架构较着有心无力,难以支持。为了应对上述挑和,就需要对现有的SOC手艺架构,特别是平安数据架构进行改革。正在新一代平安数据架构立异方面,有的聚焦于云原生,有的聚焦于数据湖仓,还有的聚焦分布式查询引擎。若是要用一个词来描述新一代平安数据架构的话,笔者当前选择 “数据管道”【注1】这个词。数据管道以一种同一、全面和简练的机制来办理源到目标地的平安数据的收集、提取、丰硕、转换和由,并贯穿平安运营的检测取响应全过程。【注1】用一个词来指代用于SOC平台的新一代平安数据架构并不容易,能够选择的词除了“管道化”,还有“编排化”等。因为编排曾经正在SOAR范畴广为人知,为了避免惹起混合,笔者暂定利用“管道化“这个词。市场款式国际上,2024年出现出了良多基于新一代平安数据架构的平安运营平台,次要集中正在各类草创公司,如AbstractSecurity、AnviLogic、Auguria(背后是SentinelOne)、Cribl(背后是CrowdStrike)、Panther、Substation,等等。此外,擅长云数据办理的Snowflake凭仗其先辈的平安数据手艺栈,也起头跨界进入这个范畴。反不雅国内,就笔者所见,只要很少的几个创业公司正在这个范畴耕作。人们更多将目光聚焦到了新的使用手艺(如GenAI使用)和功能扩充(如自动化)上,贫乏对现正在平安运营手艺架构的立异和冲破。相较于前面4种特点(AI化、从动化、自动化、整合化),面向新一代平安数据架构的管道化尚未获得普遍的认知。Gartner也仅仅是正在2024年的平安运营手艺成熟度演讲中有所提及,但也仅仅是笔者所指管道化概念的子集。而Forrester也是才起头关心到这个变化(Allie Mellen正在2024年11月12日发布的博客中暗示筹算颁发这方面的研究演讲)。笔者认为,新一代平安数据架构是对现无数据驱动平安的深化和沉塑!唯有采用新的数据架构,才能支持数据驱动平安的将来成长。若是说AI(特别是GenAI)将沉塑平安,那么AI使用成功的基石是什么?是数据!若是没有尺度化、逻辑同一和高质量的平安数据、平安谍报、平安学问,AI使用的成果也只能仍是“垃圾进,垃圾出”。现有的数据架构对此曾经为力,需要沉构,而数据管道化恰好给了平安运营一个机遇,可以或许基于数据工程,成立起持续改良的数据管理取办理能力。若是说平安运营(特别是规模化平安运营)必需依赖从动化,那么从动化成功的基石是什么?是编排!没错,平安运营流程(譬如响应流程)需要编排,数据的处置流转过程也需要编排。编排代表领会决某个问题的思和过程。无论是人工事后编排,仍是GenAI智能编排,只要正在构成了一个个处理具体问题的脚本后,从动化才能阐扬感化,将这个处理问题的过程构成规模化。而要实现数据可编排,就必需先实现数据管道化,但现有的数据架构对此曾经为力,需要沉构。只要数据架构正在手艺上实现了管道化,才能让平安运营正在使用层面实施各类编排,就好像进行各类管道的组合(如分支、归并、转换)。数据管道化不只针对日记、事态和平安事务,也针对资产、缝隙、谍报等等自动平安运营所需的各类数据,以及其它各类上下文(情境)数据。所无数据流转都必需成立的同一的数据管道之上,让各类数据正在同一的管道中汇聚、联系关系,如斯,才能实现实正无效的自动化平安运营。现有的数据架构将上述数据朋分看待,需要沉构。而一旦实现了基于数据管道的新一代数据架构,这时,数据管道就相当于一条数据总线,能够将分歧的安万能力中的数据整合到一路。当前的SOC平台手艺架构碰到了成长瓶颈,底层的数据架构无法支持其实现数据驱动平安的方针价值,需要进行沉塑。以数据管道化为代表的新一代平安数据架构正正在脱颖而出。平安运营核心不承担平安运营的所有工做。准确界定平安运营核心取平安运营的关系才能更好地鞭策平安运营的成长。回首2024年,平安运营手艺取得了长脚的前进:AI(特别是GenAI)让平安运营愈加智能高效;AI让编排更智能并进而带动实现大规模从动化;自动化让平安运营愈加完整;整合化让平安运营愈加简单;管道化沉塑平安数据架构正实现数据驱动平安运营供给支持。最初,平安运营当前呈现出来的这些特点之间是彼此联系关系、彼此感化、彼此的,不克不及孤立的去看。
