微软发布两个紧急安全更新

重新思考云SOC

安全分析师Sadowski指出：到2025年，安全运营中心(SOC)的传统功能将与现在大不相同。随着安全性变得更具可编程性，企业将在各个部门之间重新分配传统的SOC功能。结果，安全的所有权将发生变化。例如，新冠疫情和远程办公加速了“固有的中心化安全模式的消失。”“现在，网络安全不是以日志管理为中心，而是以威胁检测和响应为中心。”

而SaaS应用程序的广泛使用给威胁检测和响应带来了新的问题：“当企业中的某人购买了SaaS应用程序，不告诉任何人并且正在生产环境中运行，SOC如何为这类影子SaaS应用程序的威胁检测和响应负责?”Sadowski问道。

显然，企业仍然需要威胁检测和响应，但是有些事情需要改变，云混合SOC最终将成为首选的SOC。Sadowski说：“安全将来自于云，服务于云，这是一个重大的改变，将迫使人员、流程和技术保持一致。”

安全不是外科手术，安全团队不应指望“独角兽”解决方案或云安全领域的专家。在重新考虑SOC方法时，企业可以建立一个没有SOC“中心”的分布式团队，并开发以云为中心和业务为中心的安全技能。企业依然需要安全团队，还应打造一个流动性强的按事件处理的团队，他们将整合不同的技能来解决问题。

避免云SOC技术堆栈的复杂化

对于SOC的发展趋势，Sadowski认为，企业应该在投资新工具的之前考虑充分利用其现有工具。企业应该彻底盘点其安全运营职能和工具，包括热门的威胁检测和响应工具在内的所有不同工具和职能。

大型云服务提供商(CSP)已开始提供云检测和响应(CDR)，但仅在该CSP内以及针对CSP。以Microsoft Azure ATP和Amazon GuardDuty为例，CDR工具可以访问海量遥测数据，提供包括分析、本机响应功能以及发送警报和上下文的功能，所有这些都可以通过API来完成。

Sadowski建议企业使用云服务商工具中的CDR功能，坚持要求云服务商提供全套API，并定义一种层级化的方法来聚合、分析和处理所有本地和微观事件。企业应该避免过快过多买入新的安全工具或功能，导致SOC的复杂化。

Sadowski指出：“不要积累太多的技术债务，因为它确实在快速发展。”“安全技术正在加速发展…因此，请密切关注并保持领先。”

您真的需要SIEM吗?

企业是否必须拥有SIEM?还是可以使用可管理安全检测和响应服务(MDR)?安全专家Sadowski认为，SOC堆栈的焦点是安全事件和事件管理(SIEM)工具。但是企业需要考虑所需要的威胁检测类型。很多企业专注于勒索软件等“商品化攻击”威胁，而不是特定于业务的威胁，因此不必摄取业务应用程序日志。但是，某些企业需要高级功能，例如检测特定威胁和监视来自业务应用程序的事件的功能。

对于准备上马SIEM的企业，还必须考虑他们是否有资源来管理SIEM。SIEM需要有人来运行，调整和监视，云端的SaaS SIEM也是如此。

对于担心缺乏足够资源应对常规威胁的组织，Sadowski建议选择MDR。那些担心常规威胁并拥有资源的企业可以将SIEM视为备选，如果选择(或者配合)端点检测和响应(EDR)，网络检测和响应(NDR)以及合同生命周期管理(CLM)可能会发挥更好的作用。

Sadowski指出，那些担心高级威胁并拥有资源的企业应该投资SIEM。即使是没有资源的企业，SIEM仍然是应对高级威胁的首选，但可考虑共同管理的SIEM和可管理安全服务(MSS)。

复杂性推动云安全整合

深受多云环境复杂性和安全问题困扰的企业正在通过减少使用的供应商数量来简化其环境。

安全专家Orans指出：“假设您有多个通过云交付服务的安全供应商，一个用于安全Web网关，一个用于零信任，一个用于CASB，甚至还有更多，公司必须确定如何获取这些服务所需的流量，这通常需要在每个用户设备上安装一个代理，随着代理数量的增加，这可能会变得复杂。”

现在，企业正在坚持一种或两种基于云的安全服务，通常是安全Web网关供应商和/或单独的CASB供应商。两个市场正在融合，因此企业最终可能会选择让一家供应商提供上述两种服务。

（编辑：阜新站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!