目前提高網(wǎng)絡(luò)安全防御能力的新技術(shù)，包括機(jī)器學(xué)習(xí)算法改進(jìn)安全分析或漏洞管理， SOAR(安全編排、自動(dòng)化和響應(yīng))平臺(tái)幫助組織機(jī)構(gòu)自動(dòng)化手動(dòng)流程和簡化安全操作，以及入侵和攻擊模擬工具，它們能夠幫助組織機(jī)構(gòu)識(shí)別風(fēng)險(xiǎn)并進(jìn)行持續(xù)評(píng)估和提高安全。

這些技術(shù)顯示出了巨大的潛力，當(dāng)然也不乏炒作。

企業(yè)采用這些技術(shù)的時(shí)候，流程和技術(shù)本身仍然不夠成熟，雖然可以預(yù)期這些技術(shù)的獲益，但均處于緩慢而謹(jǐn)慎地發(fā)展?fàn)顟B(tài)中。

本文旨在提出一些更具突破性的前景技術(shù)：1. Apache Kafka(分布式消息隊(duì)列)根據(jù) ESG 的研究，與兩年前相比，有 77% 的企業(yè)收集、處理和分析了更多的安全數(shù)據(jù)。

都是什么樣的數(shù)據(jù)呢?一切數(shù)據(jù)：日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包和流、網(wǎng)絡(luò)威脅情報(bào)、應(yīng)用數(shù)據(jù)、云遙測等等。

這對(duì)于持續(xù)的安全監(jiān)控是有意義的，但是移動(dòng)和處理實(shí)時(shí)數(shù)據(jù)流需要高度擴(kuò)展的數(shù)據(jù)管道。

Apache Kafka 是一個(gè)分布式流媒體平臺(tái)(最初由 LinkedIn 開發(fā))，每天可以處理數(shù)萬億起事件。

Apache Kafka 為萬億字節(jié)的安全遙測提供了發(fā)布 / 訂閱消息總線，然后將其實(shí)時(shí)提供給多個(gè)分析引擎。

因此，Apache Kafka(和其他工具，如 RabbitMQ)可以幫助企業(yè)實(shí)現(xiàn)更快速的威脅檢測和響應(yīng)。

最早的 Apache Kafka 主要應(yīng)用于基層開發(fā)工作中，但是從那時(shí)候起供應(yīng)商就注意到它。

在 2018 年，為了利用框架和其他 SIEM 工具，Splunk 為 Kafka 提供了一個(gè)連接器，安全分析供應(yīng)商也參與其中。

如果沒有具有高性能、高擴(kuò)展性和管理良好的數(shù)據(jù)管道，我們就無法收集、處理、分析和執(zhí)行安全遙測。

Apache Kafka 正在這個(gè)領(lǐng)域發(fā)揮真正的作用。

2. MITRE ATT&CK 框架 (MAF)讓我們面對(duì)現(xiàn)實(shí)吧，多年來 MITRE 經(jīng)歷了一些波折和失誤，推出了一些復(fù)雜的技術(shù)框架，這些框架從未得到除了美國聯(lián)邦政府之外其他方的認(rèn)可 (如 FCAPS) 。

為什么 MAF 會(huì)不同?正如孫子所言：“知己知彼，百戰(zhàn)不殆。

” 在很多情況下，網(wǎng)絡(luò)安全分析師對(duì)自己了解很多，但對(duì)敵人了解卻很少，因此他們傾向于單獨(dú)處理每一起安全事件，而不是尋找攻擊模式。

Lockheed Martin 在 2011 年通過引入 “殺傷鏈” (kill chain) 改變了人們的網(wǎng)絡(luò)安全思維，但安全團(tuán)隊(duì)需要先進(jìn)的威脅情報(bào)和安全分析技能，才能將安全事件對(duì)應(yīng)到 Lockheed 的模型中。

MAF 通過充當(dāng) “粘合劑” 來填補(bǔ)了這一空白，幫助分析人員將殺傷鏈上的單個(gè)事件置于情境中進(jìn)行視覺化，并向他們提供詳細(xì)的指導(dǎo)，告訴他們下一步該從哪里著手來發(fā)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)安全攻擊。

隨著 MAF 用戶的增加，MAF 支持在所有類型的安全分析工具中無處不在也就不足為奇了。

遵循孫子的智慧，MAF 迫使網(wǎng)絡(luò)安全分析師像其對(duì)手一樣思考。

難怪它會(huì)產(chǎn)生如此深遠(yuǎn)的影響。

3. OpenC2這個(gè) OASIS 標(biāo)準(zhǔn)比 Apache Kafka 或 MAF 更難懂，實(shí)際上它還沒有產(chǎn)生什么影響，然而它有很大的潛力。

OpenC2 創(chuàng)建了一個(gè)抽象層，用于標(biāo)準(zhǔn)化安全控制的通信和指令。

例如，假設(shè)某個(gè)組織機(jī)構(gòu)收到了特定IP地址是惡意的高保真威脅情報(bào)。

立即響應(yīng)會(huì)在所有安全控制中阻止這個(gè) IP 地址。

在現(xiàn)有的安全技術(shù)下，這可能意味著要將這一規(guī)則轉(zhuǎn)換成供應(yīng)商特定的語法，這在大型異構(gòu)企業(yè)中可能很麻煩。

這就是為什么 SIEM、SOAR 和 TIP 供應(yīng)商(以及其他供應(yīng)商)花費(fèi)如此多的時(shí)間和精力開發(fā)連接器和建立合作伙伴生態(tài)系統(tǒng)的原因。

OpenC2 可以通過通用標(biāo)準(zhǔn)來減輕這種需要轉(zhuǎn)譯問題。

與單獨(dú)的連接器不同，端點(diǎn)安全軟件、防火墻、代理、DNS 服務(wù)等安全控制能夠和 OpenC2 通信，因此分析引擎可以為所有相關(guān)的安全控制發(fā)布一個(gè)統(tǒng)一的規(guī)則。

相信這種標(biāo)準(zhǔn)化可以真正對(duì)自動(dòng)化、加速和擴(kuò)展數(shù)據(jù)驅(qū)動(dòng)的安全流程有幫助。