這兩年去過RSA的人涩盾,普遍有一個(gè)感覺:威脅情報(bào)的概念在美國已經(jīng)很少提了十气。這是一件好事,因?yàn)槠涫袌?chǎng)威脅情報(bào)已經(jīng)無所不在春霍,無需再多談砸西,大家更關(guān)心的是基于威脅情報(bào)發(fā)展出的新產(chǎn)品、怎么解決具體問題址儒;這也是一件壞事芹枷,因?yàn)樗馕吨鴩鴥?nèi)安全產(chǎn)業(yè),在網(wǎng)安應(yīng)用的AI技術(shù)(UEBA為代表)莲趣、安全狩獵之外杖狼,又一個(gè)領(lǐng)域被拋在了后面,雖然起步的時(shí)間看似差的不遠(yuǎn)妖爷。
從個(gè)人的經(jīng)歷看蝶涩,國內(nèi)威脅情報(bào)技術(shù)發(fā)展落后主要有3個(gè)方面的原因:
- 企業(yè)間信任關(guān)系不足,難以形成產(chǎn)業(yè)合作絮识,情報(bào)數(shù)據(jù)推送雷聲大雨點(diǎn)新唐浮;
- 產(chǎn)品化能力較弱次舌,或者說應(yīng)用場(chǎng)景研究的尚顯單毕ㄈ痢;
- 新一代安全產(chǎn)品需要復(fù)合多種安全能力彼念,開發(fā)資源整合難度較大挪圾;
作為公開文章,似乎前兩個(gè)原因不適合多談逐沙,就把焦點(diǎn)放到最后一個(gè)問題上哲思。
在一個(gè)安全產(chǎn)品中復(fù)合多種的安全技術(shù)/能力,是10年前就開始的一個(gè)趨勢(shì)吩案,SWG棚赔、NGFW、EPP都是其中典型的代表,以場(chǎng)景為主線靠益,將解決一個(gè)場(chǎng)景下問題需要的安全能力統(tǒng)一在一個(gè)產(chǎn)品中提供丧肴,統(tǒng)一配置、統(tǒng)一管理胧后,減少了安全建設(shè)成本也簡化了運(yùn)營的難度芋浮。典型的是有了NGFW之后,在網(wǎng)絡(luò)出口處串糖葫蘆似的部署多個(gè)產(chǎn)品的情況應(yīng)該少多了壳快。
安全建設(shè)的重心從防御轉(zhuǎn)向到檢測(cè)途样、響應(yīng)的過程中,逐步明確了其中的需求:運(yùn)營過程需要快速進(jìn)行報(bào)警確認(rèn)濒憋、了解攻擊危害程度,進(jìn)行攻擊鏈和影響面分析陶夜,并執(zhí)行遏制或清除活動(dòng)凛驮。這其中需要的能力或技術(shù)就包含:威脅情報(bào)、事件管理条辟、事件編排黔夭、自動(dòng)化分析和自動(dòng)化響應(yīng)等羽嫡,它們都是安全運(yùn)營中需要的內(nèi)容,單純某一種能力不能幫助用戶完成安全閉環(huán),因此需要將這些能力疊加在一起,形成一個(gè)新的產(chǎn)品,這類產(chǎn)品在Gartner的報(bào)告中被命名為SOAR(Security Orchestration, Automation and Response )。
SOAR產(chǎn)品也許有很多的功能氮兵,但個(gè)人認(rèn)為其核心競爭力應(yīng)該是分4部分:
- 威脅情報(bào)能力;
- 威脅分析經(jīng)驗(yàn)秩霍;
- 事件響應(yīng)經(jīng)驗(yàn);
- 整合不同安全產(chǎn)品的能力矮燎;
簡單說灾票,SOAR是通過內(nèi)置多種不同類型威脅情報(bào)彌補(bǔ)安全運(yùn)營團(tuán)隊(duì)的這方面的不足既们,通過編排或者說Playbook彌補(bǔ)安全運(yùn)營團(tuán)隊(duì)分析婴氮、響應(yīng)經(jīng)驗(yàn)的缺失,最后利用整合能力提供的自動(dòng)化解決重復(fù)勞動(dòng)和效率的問題。
這樣的產(chǎn)品已經(jīng)不是傳統(tǒng)意義上的一個(gè)安全產(chǎn)品團(tuán)隊(duì)可以完成的了迷扇。要實(shí)現(xiàn)這樣的產(chǎn)品,幫助用戶解決最大的運(yùn)營問題爽哎,是需要安全公司重新思考如何開發(fā)一個(gè)產(chǎn)品的蜓席。從技術(shù)上講,這種形勢(shì)應(yīng)該對(duì)綜合性的大公司比較有利课锌,但從實(shí)踐看厨内,國際上相似的產(chǎn)品更多是由創(chuàng)業(yè)公司帶來的祈秕,其中只有Fireeye算是一個(gè)特例。因此面對(duì)這種新的產(chǎn)品需求雏胃,在安全能力请毛、組織形式、開發(fā)流程上具有不小的挑戰(zhàn)瞭亮,最終那類公司能突圍而出方仿,尚無答案。
“看中流擊水统翩,浪遏飛舟”仙蚜。
