對(duì)網(wǎng)絡(luò)安全產(chǎn)生重要影響的三種前景技術(shù)
2019年09月18日
共同之處:每一種技術(shù)都能增強(qiáng)效力���,為其周邊的其他安全技術(shù)提高戰(zhàn)斗力�。
目前提高網(wǎng)絡(luò)安全防御能力的新技術(shù)�,包括機(jī)器學(xué)習(xí)算法改進(jìn)安全分析或漏洞管理, SOAR(安全編排����、自動(dòng)化和響應(yīng))平臺(tái)幫助組織機(jī)構(gòu)自動(dòng)化手動(dòng)流程和簡(jiǎn)化安全操作,以及入侵和攻擊模擬工具����,它們能夠幫助組織機(jī)構(gòu)識(shí)別風(fēng)險(xiǎn)并進(jìn)行持續(xù)評(píng)估和提高安全����。
這些技術(shù)顯示出了巨大的潛力���,當(dāng)然也不乏炒作。企業(yè)采用這些技術(shù)的時(shí)候�����,流程和技術(shù)本身仍然不夠成熟����,雖然可以預(yù)期這些技術(shù)的獲益,但均處于緩慢而謹(jǐn)慎地發(fā)展?fàn)顟B(tài)中����。本文旨在提出一些更具突破性的前景技術(shù):
1. Apache Kafka(分布式消息隊(duì)列)
根據(jù) ESG 的研究,與兩年前相比����,有 77% 的企業(yè)收集、處理和分析了更多的安全數(shù)據(jù)����。都是什么樣的數(shù)據(jù)呢?一切數(shù)據(jù):日志數(shù)據(jù)���、網(wǎng)絡(luò)數(shù)據(jù)包和流、網(wǎng)絡(luò)威脅情報(bào)�����、應(yīng)用數(shù)據(jù)�����、云遙測(cè)等等�����。這對(duì)于持續(xù)的安全監(jiān)控是有意義的�,但是移動(dòng)和處理實(shí)時(shí)數(shù)據(jù)流需要高度擴(kuò)展的數(shù)據(jù)管道。Apache Kafka 是一個(gè)分布式流媒體平臺(tái)(最初由 LinkedIn 開發(fā))���,每天可以處理數(shù)萬億起事件����。
Apache Kafka 為萬億字節(jié)的安全遙測(cè)提供了發(fā)布 / 訂閱消息總線���,然后將其實(shí)時(shí)提供給多個(gè)分析引擎�。因此,Apache Kafka(和其他工具���,如 RabbitMQ)可以幫助企業(yè)實(shí)現(xiàn)更快速的威脅檢測(cè)和響應(yīng)��。最早的 Apache Kafka 主要應(yīng)用于基層開發(fā)工作中,但是從那時(shí)候起供應(yīng)商就注意到它���。在 2018 年���,為了利用框架和其他 SIEM 工具,Splunk 為 Kafka 提供了一個(gè)連接器�����,安全分析供應(yīng)商也參與其中���。如果沒有具有高性能���、高擴(kuò)展性和管理良好的數(shù)據(jù)管道,我們就無法收集����、處理���、分析和執(zhí)行安全遙測(cè)。Apache Kafka 正在這個(gè)領(lǐng)域發(fā)揮真正的作用��。
2. MITRE ATT&CK 框架 (MAF)
讓我們面對(duì)現(xiàn)實(shí)吧��,多年來 MITRE 經(jīng)歷了一些波折和失誤�,推出了一些復(fù)雜的技術(shù)框架,這些框架從未得到除了美國(guó)聯(lián)邦政府之外其他方的認(rèn)可 (如 FCAPS) ��。為什么 MAF 會(huì)不同?正如孫子所言:“知己知彼���,百戰(zhàn)不殆���。” 在很多情況下�����,網(wǎng)絡(luò)安全分析師對(duì)自己了解很多�,但對(duì)敵人了解卻很少,因此他們傾向于單獨(dú)處理每一起安全事件����,而不是尋找攻擊模式����。Lockheed Martin 在 2011 年通過引入 “殺傷鏈” (kill chain) 改變了人們的網(wǎng)絡(luò)安全思維����,但安全團(tuán)隊(duì)需要先進(jìn)的威脅情報(bào)和安全分析技能,才能將安全事件對(duì)應(yīng)到 Lockheed 的模型中�。MAF 通過充當(dāng) “粘合劑” 來填補(bǔ)了這一空白���,幫助分析人員將殺傷鏈上的單個(gè)事件置于情境中進(jìn)行視覺化��,并向他們提供詳細(xì)的指導(dǎo)���,告訴他們下一步該從哪里著手來發(fā)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)安全攻擊。隨著 MAF 用戶的增加�,MAF 支持在所有類型的安全分析工具中無處不在也就不足為奇了。遵循孫子的智慧����,MAF 迫使網(wǎng)絡(luò)安全分析師像其對(duì)手一樣思考。難怪它會(huì)產(chǎn)生如此深遠(yuǎn)的影響����。
3. OpenC2
這個(gè) OASIS 標(biāo)準(zhǔn)比 Apache Kafka 或 MAF 更難懂��,實(shí)際上它還沒有產(chǎn)生什么影響�,然而它有很大的潛力�。OpenC2 創(chuàng)建了一個(gè)抽象層,用于標(biāo)準(zhǔn)化安全控制的通信和指令�。例如,假設(shè)某個(gè)組織機(jī)構(gòu)收到了特定IP地址是惡意的高保真威脅情報(bào)�。立即響應(yīng)會(huì)在所有安全控制中阻止這個(gè) IP 地址。在現(xiàn)有的安全技術(shù)下�����,這可能意味著要將這一規(guī)則轉(zhuǎn)換成供應(yīng)商特定的語法�����,這在大型異構(gòu)企業(yè)中可能很麻煩��。這就是為什么 SIEM�����、SOAR 和 TIP 供應(yīng)商(以及其他供應(yīng)商)花費(fèi)如此多的時(shí)間和精力開發(fā)連接器和建立合作伙伴生態(tài)系統(tǒng)的原因����。
OpenC2 可以通過通用標(biāo)準(zhǔn)來減輕這種需要轉(zhuǎn)譯問題��。與單獨(dú)的連接器不同����,端點(diǎn)安全軟件�����、防火墻��、代理��、DNS 服務(wù)等安全控制能夠和 OpenC2 通信��,因此分析引擎可以為所有相關(guān)的安全控制發(fā)布一個(gè)統(tǒng)一的規(guī)則�����。相信這種標(biāo)準(zhǔn)化可以真正對(duì)自動(dòng)化��、加速和擴(kuò)展數(shù)據(jù)驅(qū)動(dòng)的安全流程有幫助���。
這三種技術(shù)都有一個(gè)共同的特點(diǎn):每一種技術(shù)都能增強(qiáng)效力��,為其周邊的其他安全技術(shù)提高戰(zhàn)斗力�。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
