未来 SOC 的第二个构建块：开放式集成框架

网络安全中绝对“流行”的趋势之一是安全运营中心 (SOC) 现代化。越来越多的证据表明，这不是是否会受到攻击的问题，而是何时以及如何攻击一个组织。有了这个前提，我们看到 SOC 缩小了他们成为检测和响应组织的使命的重点，需要某些构建块来为未来的 SOC做好准备。

之前，谈到数据是 SOC 现代化的第一个构建块。数据是安全的命脉，因为它提供了来自广泛的内部和外部来源的上下文，包括系统、威胁、漏洞、身份等等。当安全性由数据驱动时，团队可以专注于相关的高优先级问题，做出最佳决策并采取正确的行动。数据驱动的安全性还提供了一个持续的反馈循环，使团队能够捕获和使用数据来改进未来的分析。

第二个构建块建立在数据之上，是一个开放式集成架构，可确保系统和工具可以协同工作，并且数据可以在整个基础架构中流动。来自ESG的Jon Oltsik 在推特上强调了对这种架构的需求：“到 2022 年，业界将认识到 XDR 必须是一个开放且灵活的架构。” 随着 SOC 成为检测和响应组织，扩展检测和响应 (XDR) 成为关键能力，只有基于开放式架构方法才能有效执行。

开放性很重要，原因如下：

没有干净的石板。团队分析所需的数据来自多种不同的技术、威胁源和其他第三方来源。最近的一项研究发现，平均而言，组织拥有超过45 种不同的安全工具在大多数情况下，彼此不交互。随着时间的推移，随着不同的团队、预算和部门做出独立决策，这种情况自然会发生。他们可能依赖少数“大型供应商”来处理大部分安全任务，但通常他们也使用同类最佳供应商来控制大型供应商没有或不擅长的控制。还有交易的问题使用团队仍然需要使用的本地工具，至少在短期内完全过渡到云之前。一些组织拥有需要内部集成的工具，意味着他们需要 API 以便他们可以编写自己的集成。一个开放的集成架构将解决所有这些场景：与当今的安全团队合作，实现与专有工具的集成，

并购(M&A)发生。许多组织通过并购发展壮大，而不是统一其安全技术以符合上级组织的要求，至少在短期内他们维护着独立的系统。组织还可以允许业务部门有一定的自主权来部署他们需要的工具来支持他们的独特需求。集成必须广泛，以涵盖企业在任何地方拥有的任何工具。

新的用例需要协作。未来的 SOC 必须能够处理正常操作和其他用例，包括威胁检测和监控、调查、事件响应和搜寻。对这些用例的支持需要团队和工具快速高效地协同工作。支持这些用例的数据、团队和工具遍布整个典型组织。具有双向集成的开放式架构使团队能够将数据和工具整合在一起，以进行分析和决策，形成一个共同的工作界面。

最终，关于更快地采取正确的行动。全面响应需要超越一个文件或系统来查找整个组织中的所有相关事件和数据。将这些点连接起来并通过额外的智能进行情境化需要跨工具的深度集成，以便团队能够充分了解如何补救和响应事件。双向集成使数据能够流入和流出，立即自动将相关策略和命令发送回防御网格中的正确工具，以加快响应速度。

允许持续改进。循环往复，双向集成支持从响应中捕获和存储数据的能力，以便随着时间的推移进行学习和改进。团队在公共工作界面中分享评论和观察的能力，以及新数据可用时的入站流量，有助于 SOC 随着威胁的发展继续加强检测和响应。

未来的 SOC 必须是数据驱动的，因此系统和工具必须能够协同工作。开放式集成架构提供了对来自技术、威胁源和其他第三方来源的数据的最大访问权限，并能够在做出决定后推动对这些技术采取行动。但是，现代 SOC 还需要一个高效和有效地构建模块——平衡自动化与人工参与的能力。