应对安全的癌变

“癌变”一词恰如其分地描述了安全行业是怎么发展的，以及为什么安全主管往往难以为公司确定正确的安全投资。

安全行业从一系列单点产品入手解决非常具体的挑战。企业采用端点杀毒软件、防火墙、入侵防御系统/入侵检测系统（IPS/IDS）和路由器来保护自身。电子邮件和Web安全工具也迅速加入进来，还有安全信息与事件管理（SIEM）及工单系统、日志管理存储库和案例管理系统等其他工具用于存储内部威胁和事件数据。端点检测与响应（EDR）工具随之融入，并在几年之后成为了安全行业发展进入下一阶段的起点。这也是端点安全技术和网络安全技术之间长久以来的壁垒崩塌的开始，产品类别之间的界限从此不再明确。

一切开始趋同

几年前，扩展检测与响应（XDR）概念引入的时候，每位行业分析师对此似乎都有各自略有不同但相互冲突的定义。一些分析师认为XDR就是EDR+（在“+”的内涵上观点各异），而其他分析师认为XDR压根儿就不能称之为一种解决方案，而是一种方法或架构。此种争论延续至今。

现如今，安全行业谈论的是威胁检测、调查与响应（TDIR）平台；至于其与XDR的差异，那就取决于你问的是谁了，不同的人会给你不同的答案。一些人认为XDR是总体架构，而TDIR是集成了XDR所需全部功能的平台。另一些人则认为TDIR是个过程。还有一部分人觉得这俩根本就是一个东西。

相关安全概念具有相似特性所导致的观点差异造成了巨大混乱，令安全团队难以评估和采购安全技术来加强其企业的安全态势。在市场应该走向成熟并推动安全更上层楼的时候，这些差异就成了阻碍。

看用例，莫看标签

于是，安全团队该如何排除噪音和干扰？安全趋同发展的过程中，一切看起来都那么相似，我们必须着重关注用例。为此，从你要完成的任务、相关工作流、人员、流程和所需技术开始。基于此，你才能看清缺口所在，知道该投资什么才能达成目标。

有时候，你可能会需要特定技术来处理特定用例。或者，理想状态下，你找到能够处理多种用例的平台，统一解决安全专业人员随着安全运营中心（SOC）的成熟而重点关注的那些用例，比如鱼叉式网络钓鱼、威胁捕捉、警报分类、漏洞优先级排序和事件响应。

对于上述每一种用例，要了解其间攻击对象、内容、位置、时间、动机和方式，就必须掌握上下文。如果所用安全运营平台能够聚合并关联内部威胁和事件数据与外部指标、对手及其方法数据，你就能分析多源数据，并基于所设参数了解其与自身环境的相关度。只要掌握了正确的数据和上下文，就可以围绕特定数据加以了解和行动。你可以解析鱼叉式网络钓鱼电子邮件做出预防和响应部署，划分警报优先级进行分类，确定需要首先修复的漏洞，还可加速威胁捕捉。集成正确的工具有助于将数据发回整个防御网格，从而加快事件响应，包括阻止威胁、更新策略，以及让公司能够应对下一波攻击。

事实上，安全起见，应该尽早推倒区别产品类别的隔离墙。企业如果考虑引入最新概念，或者受到近期攻击的刺激，可能会根据自身目标、内部资源和能力而选择更为有效的不同工具或平台。当一切开始“癌变”（趋同），我们不能依靠标签。我们需要关注用例、期望结果和达成目标的最佳路径。

参考阅读