一体化vs.模块化,谁才是SOC的未来?
2024-8-26 09:45:39 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

本文 7243   阅读约需 19分钟

目前,主要网络安全企业都在努力进入安全运营(SOC)领域。众所周知,最近业界发生了多起并购整合、发布了多个SIEM平台:Palo Alto Networks 收购 IBM 的 QRadar 、Crowdstrike 宣布推出其完整的 SIEM 平台,LogRythmn和 Exabeam 合并成为一个平台;Zscaler 收购 Avalor ,Fortinet也推出了SIEM 产品。 

但目前,还没有一个平台能够满足 SOC 的所有技术要求。实际上,未来SOC 领域不太可能出现一个主要平台——至少在短期内不会。CrowdStrike 导致的全球IT基础设施瘫痪事件意味着,企业安全领导者会毫不犹豫地从单一厂商购买整个技术堆栈,以避免将来再发生这种情况。

但目前,还没有一家机构能完整构建这种SOC 技术平台。该平台涵盖大型平台主导的所有领域,提供从数据管道、数据采集、分析到自主应对威胁的统一系统。大型厂商有动力推广一体化战略。不过,相信未来业界可以实现“SOC 内的模块化整合”,即拥有符合安全需求的模块化SOC,从而可以为XDR/SIEM、自动化或数据管道选择最佳解决方案。 

这一前提的大部分原因在于目前仍没有一家成功的一体化 SOC 公司。Splunk 目前在 SIEM 市场占据主导地位,但Splunk 不受欢迎,且在被思科收购后,未来几年可能会走下坡路。成功的网络安全企业在各自领域赢得了声誉,如CrowdStrike在终端领域、Wiz 在云安全领域、Okta 在身份领域。但在 SOC市场上,很可能很长一段时间都不会拥有公认的顶级品牌。

一、SOC 的发展历程

多年来,SIEM/SOC 市场经历了许多转型,从 Arcsight 到 Splunk,再到市场上新兴的原生解决方案。对于需要存储数据的企业来说,可用的解决方案一直不缺。

深入研究基础安全知识,会了解到,安全运营中心 (SOC) 的主要目的是持续监控、检测、分析和应对组织内的网络安全事件和威胁。安全运营中心 (SOC)是网络安全的中央枢纽,利用各种技术来检测和应对安全威胁。其所使用的一些核心技术包括 SIEM、SOAR、EDR、NDR、CASB、VM、IAM、TIP 和 UEBA。大多数 SOC 都将终端安全作为技术的核心,其中许多解决方案会持续监控终端和整个网络的可疑活动。 

SOC 的核心是 SIEM。SIEM 背后的核心前提是收集数据、分析数据并根据检测规则发送警报。SIEM 系统会汇总、分析和关联来自组织内各种来源的安全事件数据,以实时检测、监控和应对安全威胁。它们通过识别异常或可疑活动来提供集中可见性并促进事件响应。

SIEM 的最终输出始终由安全自动化解决方案处理。当 SIEM 检测到任何工具中的安全事件时,就会触发 SOAR/自动化解决方案,根据预定义的剧本自动执行某些响应操作。例如,如果检测到未经授权的访问,SOAR/超自动化平台可以自动启动协议以更改密码或关闭帐户。

二、当前SOC的范式

近年来,网络安全工具已经发生了巨大变化。过去几年市场快速发展,SIEM 领域出现了越来越多的供应商,但在Gartner 2024年SIEM 魔力象限中,排名靠前的多家供应商在最近数月经历了重大组织和业务变化。很多供应商在开展并购活动,以合并成为更强大的参与者。

与此同时,SOC 的工具堆栈也得到了大幅扩展。现在,企业在努力收集和存储大量数据的同时,还试图平衡相关成本。大多数企业系统在实现可扩展的数据收集时,都会不可避免地增加成本,这使得组织不得不在管理成本和财务约束之间做出选择。因此当前存在一条成本-生产率曲线,客户必须根据可用数据的获取成本来管理其规模。这种价格的复杂性和广泛的数据点促成了 Cribl 和 Anvilogic 等公司的崛起和成功,这些公司在安全数据到达 SOC 之前发挥着关键作用。

三、对大型 SOC 平台的评价

1. CrowdStrike

CrowdStrike 在业界提出打造完全一体化的平台,并在 RSAC 会议上宣布了其完整的AI 原生 SOC 平台。该平台建立在其最初的 SIEM/日志管理平台之上(收购 Humio 之后启动)。在最近的公告中,CrowdStrike 又增加了一种解决方案,将更多的 AI 工作流自动化融入到已获得的从终端/云数据生成的现有告警中。
CrowdStrike还宣布了平台的多项增强功能,包括改进了快速数据摄取功能,为 AWS、Azure 和 GCP 提供更好的连接器,以及使用高级 AI 实现数据自动规范化,以实现准确的检测和响应。CrowdStrike的SOC平台还集成了 Charlotte AI,这是一款生成式 AI 安全分析师,能以通俗易懂的语言提供解决方案,并自动开展调查,使搜索速度提高 150 倍,成本降低 80%。新的提示词和 Falcon Fusion SOAR UI 还增强了工作流程自动化,简化了检测、调查和响应,从而实现更好的数据处理和缩短安全事件的响应时间。

Crowdstrike 在 SIEM 竞争中的优势 

Crowdstrike 的 Falcon Next-Gen SIEM 的一个重要特性是其单代理、单平台架构,可统一本机数据和第三方数据。SOC 团队都知道,端点/EDR 数据是使用 SIEM 时必须处理的最大数据集之一。
CrowdStrike 认为,自己可以让客户将部分端点数据指向其打造的 SIEM。终端数据处理起来也很复杂,需要复杂的工程来处理极端情况、减少重复等。CrowdStrike 宣布了一个利用人工智能自动解析和规范化的系统,该系统丰富了数据,以更好地识别和确定威胁的优先级,并支持高级威胁检测和自动响应机制。 
CrowdStrike计划整合 Fusion SOAR 自动化解决方案,来完成 SIEM 的响应和补救。作为最大的 EDR 供应商之一,通过添加合适的增强功能,CrowdStrike可以轻松将使用相同终端的客户迁移进入其SIEM 解决方案。

2. Palo Alto Networks 

五年前,Palo Alto Networks收购了 Demisto,该公司的产品是最接近完全一体化的产品,涵盖了从终端代理到安全数据湖和SOAR的一系列产品。 
为了进一步加强其 SIEM 解决方案的战略转型,Palo Alto Networks (PANW) 收购了 IBM 的 QRadar。此次收购标志着 PANW 改变了其近期专注于收购前沿技术以填补其平台空白的策略。 
相反,PANW 正在迅速采取行动以确保市场份额。此次收购使 PANW 成为 SIEM/安全分析市场前三大供应商之一,预计到 2026 年该市场规模将超过 200 亿美元。
QRadar 历来占据 12% 的市场份额,此次收购大大提升了 PANW 的地位,旨在将 QRadar 本地/SaaS 客户过渡到 PANW 的 Cortex 平台 (XSIAM),该平台已被公认为 XDR 领域的领导者。 
PANW 估计,此次迁移将带来超过 20 亿美元的总合同价值 (TCV) 机会。IBM 的 QRadar 资产(包括 QRadar SOAR 和 Randori Recon)现在将归 PANW 所有。此次整合预计将加速 PANW 的市场渗透。 
PANW 于 2022 年初推出的 Cortex XSIAM 将从这一扩大的客户群中受益匪浅。最大的好处之一是,此次合作将使 IBM 成为 PANW 经销商和集成合作伙伴,拥有 1,000 名接受过 PANW 产品培训的 IBM 顾问,以处理非战略性任务。此次收购和合作凸显了 PANW 巩固其在 SIEM 市场地位的战略举措。PANW 旨在利用 IBM 现有的客户群和技术资产来增强其 Cortex 平台。

3. SOC 一体化的评价 

CrowdStrike 和 Palo Alto Networks持续推动 SOC 领域的供应商整合。实际上,2024 年网络安全行业一直强调供应商整合的紧迫性。主流安全厂商自然有理由积极推动。 
在这种情况下,供应商选择将其大多数平台与一家供应商进行整合。在大多数情况下,安全厂商会将其所有数据发送到 SIEM,并围绕平台供应商构建其 SOAR、XDR、威胁情报、云日志和其他产品。这是领先的大型安全厂商推动的策略。 

一体化SOC的优点 

简化安全基础设施:将安全工具集成到单一平台可简化安全基础设施,减少安全团队需要管理的工具和供应商数量。这种“单一管理平台”方法可简化操作,并最大限度地降低合同、关系和集成工作的复杂性。 
增强高警上下文:统一平台通常附带大量威胁情报数据,为安全分析师提供 SIEM 生成的警报的更丰富上下文(这可能会减少警报)。例如,像 Palo Alto Networks 这样拥有现有云和网络安全产品组合的公司,可以关联并提供跨安全领域的更广泛可见性,从而增强其威胁检测和响应能力。 
集中管理:部署 SIEM 通常涉及在多个系统上安装代理。让单个供应商集中管理这些传感器可以简化部署和管理,提高效率并降低开销。 

一体化SOC的缺点 

供应商锁定:依赖单一供应商提供多种安全解决方案存在供应商锁定风险。如果组织对供应商不满意,或者供应商遇到问题(例如,中断 - 最好的例子是 CrowdStrike 目前的问题),由于系统和数据依赖关系的深度集成,更换供应商可能会很困难,而且成本高昂。 
定制化和灵活性降低:大型供应商通常设计其平台以吸引广泛的市场,这可能会限制定制化和模块化选项。集成解决方案可能会变得复杂且臃肿,充斥着不必要的功能,对于有特定需求的组织来说,这会使其变得繁琐且难以管理。
成本逐年增加:虽然初始集成可能会带来成本效益,但供应商可能会随着时间的推移提高价格,尤其是在管理计算和存储方面的数据摄取成本方面。随着使用量的增加,Splunk 等平台的集中化功能可能会导致成本增加。
行业特定要求:不同行业具有独特的安全要求。例如,金融和保险等监管严格的行业可能更喜欢采用集中式方法的传统 SIEM 解决方案,而以消费者为中心的企业可能需要更加模块化和灵活的 SOC 设置。集成平台可能无法同样好地满足这些不同的需求。
实际情况是,组织可以做出明智的决策,将安全工具集成到统一平台中,平衡简化管理和增强环境的好处与供应商锁定和降低灵活性的风险 。

四、最佳 SOC评价(及未来可能)

如果未来的SOC没有完成一体化整合,就很可能就会更加模块化,尤其是在进入生成式人工智能的新型攻击所主导网络安全世界时,我们需要专门的解决方案来应对可能出现的各种威胁。 
这种安全检测和响应架构强调标准化、灵活性、数据所有权、成本效益和采用先进技术的原则,尤其是大语言模型带来新架构变革。 
这一概念已发展成为无头 SIEM,即安全数据架构产品(安全数据湖、SIEM、数据仓库、XDR 等)仅仅专注于安全数据处理、分析和管理。其功能性可通过 API 或某些命令行界面进行访问和管理。
一体化SOC平台可以减少SOC 团队所需的工具数量,但推动SOC整合的最大驱动力在根本上是管理成本,并能应对最重要的威胁。

1、模块化SOC核心组件 

笔者不主张在 SOC 中整合大量(30个以上)解决方案,而主张采用由同类最佳方案组成的SOC架构,该架构有三个主要组件作为SOC 的核心组件(这是一个简单的模型,因为许多组织都有不同的堆栈,但从研究来看,这大体上是一个很好的框架): 
  • 预数据处理器和 ETL 解决方案 

  • 安全数据分析与存储引擎 

  • 自动化解决方案 

模块化安全架构围绕数据编织概念(Data Fabric)构建,Gartner 将其定义为一种架构和一组数据服务,可在混合和多云环境中提供跨终端的一致功能。它旨在使数据在各种系统中更易于访问和使用,从而实现数据管理和集成的简化。

(1) 预数据处理器和 ETL 解决方案

这是一个新兴类别,自IT 和安全数据引擎Cribl 诞生,就经历了迅速增长,ARR已达 1 亿美元。这些供应商是安全工具和 SIEM的中间人,一旦模块化 SOC采用了这些供应商的产品,就会显著降低成本和警报,理想情况下是在 SIEM 内部,这是 SOC 面临的最大挑战。 
这里有两种类型的厂商: 
数据管道和 ETL 供应商:这些供应商专门从各种来源收集数据,包括来自不同安全应用和 IT 系统的日志、事件、指标和跟踪数据,然后整理、转换这些原始数据集,并将其规范化为更易于分析的结构化格式。其中包括规范化数据和过滤掉不相关的信息。这一类别有许多供应商,例如 Tarsal、Monad 等。 
数据路由供应商:这些供应商专门在数据进入SIEM 之前对其进行优化和丰富。可以使用上下文信息(例如威胁情报源、用户身份信息和地理位置数据)丰富数据,从而为安全告警和事件提供更多背景信息。处理完数据后,这些编排器会将其路由到适当的目的地,无论是 SIEM、数据湖、分析平台还是其他存储解决方案。这一也有许多供应商,其中包括Cribl 等知名公司,以及Observo.ai等新兴公司。 
(2) 安全数据分析和存储解决方案 
传统的一体化 SIEM 供应商通常占据主导地位。目前企业可以使用四种类型的架构 ——一是公认的SIEM,此外还有新兴的多数据 SIEM(如 Anvilogic)、基于 EDR 构建的 XDR 解决方案,以及数据仓库解决方案(如 Snowflake)。
大型组织有使用 Databricks 和 Snowflake 等数据湖技术进行标准化的案例,亚马逊安全湖等产品也可以发挥作用。这在今天很有意义,未来,我们将看到具有令人信服安全用例的新数据管理平台。在这些部署方法中,企业可以采用开放网络安全架构框架 (OCSF) 等标准,以确保数据格式一致,以及更轻松与未来支持 Gen AI 的产品集成。 
Securonix 应用研究总监奥利弗·罗奇福德( Oliver Rochford )所说,如果一家企业拥有更多具备检测工程技能的建设者原型/安全人才,可能会更倾向于数据湖选项,反之亦然。 

A.联合数据模型— 该模型还催生了一种日益流行的趋势:联合数据模型,这是一种分散的数据管理方法,其中数据仍保留在其原始位置,但可以在不同的系统和环境中访问和查询。由于当今架构中的不断变化和数据量,该模型不是将所有数据移动到一个存储库,而是允许不同团队和部门实时访问和分析共享数据,从而促进彼此之间的协作。它还通过将数据保留在其原始环境中来增强数据主权和安全性,从而降低与数据传输和存储在集中位置的相关风险。

B.更符合涉及 AI/LLM 的未来架构:此外,检索增强生成 (RAG) 可以让企业利用大型语言模型 (LLM) 来访问和分析自己的数据 ——检索增强生成 (RAG) 允许安全数据成为查询 LLM 模型提示词的一部分,从而为安全数据提供巨大的检测洞察力,并实现强大的威胁狩猎功能。 

(3)自动化解决方案
公司可以采用更加模块化的一流自动化技术来执行重复且耗时的任务。传统 SOAR 供应商面临的最大挑战是构建工作流程的成本和巨大的实施工作量。对于许多想要专注于重要高警的 SOC 团队来说,为新类型的威胁和规则开发和维护自动化剧本可能很复杂。可以借助 Torq 等更现代的超自动化解决方案或 Intezer 等Tire 1解决方案,这些解决方案可以根据预定义规则和机器学习算法对告警进行过滤和优先排序。这减少了 SOC 团队需要分析的误报数量,并突出显示需要立即关注的最关键告警。这些解决方案有助于加快检测和响应时间,同时最大限度地减少人为错误,并提高威胁检测和事件响应的准确性。

2、选择模块化 SOC 架构的原因 

它之所以能成为许多组织的通用框架,原因如下: 
基于合规要求的垂直解决方案:不同行业具有独特的 SOC 要求或需要遵循的合规性协议。例如,由于严格的法规,金融服务需要集中式 SOC,而 AI/云原生公司则受益于分布式架构。这种多样性使得很难对 SOC 应用采用通用的方式。组织可以根据特定安全功能需求选择最佳解决方案。这种灵活性确保可以部署专门的工具(如入侵检测或恶意软件分析工具)来有效满足特定需求。 
成本效率:尽管人们认为将采用一家企业的一体化解决方案,可以有效管理成本,但根据研究,没有有效的证据表明,企业长期使用大型平台可以节省成本。前期成本较低,但会随时间推移而增长。相反,使用最佳方案组合则可以降低成本,因为企业可能会采用最佳存储引擎,从而实现成本优化。如果需要处理更多实时、热数据的用例(如媒体公司等),则可以使用 XDR 或安全数据湖。企业还可以部署专门的工具,来优化安全技术的支出。这种部署方式通过将高优先级安全数据从常规日志中分离到替代的低成本解决方案,有助于实现数据湖优化和成本效益。 
可扩展性问题:随着新威胁的出现或组织网络的扩展,最佳方案组合的 SOC 可以更轻松进行扩展。这种模块化方式可在不造成重大系中断的情况下进行增量升级和变更,从而促进增长和采用。例如,随着Airbnb的员工从600 多名发展到 6000 多名,所面临的安全数据挑战也不断演变,这促进了创业公司Panther Labs 的成立。 
冗余和弹性:使用来自不同供应商的多种解决方案,可提高安全运营的冗余和弹性。CrowdStrike 引发的全球IT故障很好地证明了这一观点。如果一种技术解决方案出现故障,其他解决方案可以维持安全运营,最大限度地减少宕机时间,并增强整体安全性。

五、未来的SOC会怎样?

总之,一体化综合SOC 简化了操作、降低了复杂性并通过集成平台增强了警报上下文,但它的“一刀切”原则,同时带来了一些风险,包括供应商锁定、有限定制化以及成本随着时间不断上升。 
相反,模块化SOC 具有针对特定安全功能量身定制的最佳解决方案的优势,具有更大的灵活性和可扩展性,并通过与多家供应商的合作鼓励创新。尽管存在管理复杂性、集成性和潜在告警疲劳(取决于组织的具体环境)的潜在挑战,模块化 SOC 却能够提供专业化、高弹性且适应性强的安全解决方案,这使其成为旨在保持强大和动态的网络安全态势的组织的最佳选择。 
需要注意的是,各种组件都需要整合,但在 SOC 内,通过架构模块化,企业可以在攻击形势发生变化时随时替换任何组件,同时保持对安全基础设施的完全控制。模块化架构允许轻松更换或升级单个组件,确保对安全基础设施的适应性和控制力。

  关 于 作 者  

弗朗西斯·奥杜姆

加拿大网络安全研究员和独立分析师,曾在Investi Analyst 担任网络安全和 AI/ML 投资人。

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNjYwMTMyNQ==&mid=2247492012&idx=1&sn=ffc548200dab26b314736aa5f08e3df1&chksm=971d8caea06a05b85841c40925236059be3d375352cc372e9e3dbe7b5abec956a02bd67ad882&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh