安全供应商：整合势在必行

将安全团队、过程和技术拧成一股绳的关键是整合。

本文涉及技术领域。在家里，整合案例可能以您拥有的音响系统，或者家居自动化解决方案的形式呈现。无论哪种情况，您都可能进行了广泛的研究，按照自身需求从不同制造商挑选最适合的部件。比如CD播放器、转盘、调谐器、接收器、功放和扬声器。或者智能中心（如亚马逊Echo或谷歌Home）、恒温器、摄像头、门锁、泛光灯、智能家电、智能电视等等。您可能是在使用过程中逐步积累起这些解决方案，而且将来还要添加新的设备，希望各个设备能够无缝互动，交付预期的效果。 

安全人员日常工作的环境与之类似。大多数组织机构拥有复杂的安全基础设施，采用多家供应商的多种产品构成多层防御，包括防火墙、IPS/IDS、路由器、Web和电子邮件安全，以及端点检测与响应解决方案。我们还有SIEM和其他工具归集内部威胁及事件数据：工单系统、日志管理存储库、案例管理系统。 

过去几年中，转向安全编排、自动化与响应（SOAR）平台及工具的趋势渐长。具体而言，编排和自动化工具定义战术手册和过程；威胁情报平台充当中央存储库，聚合大量内部威胁与事件数据，并以外部全球威胁情报加以丰富，形成便于安全人员理解和排序响应操作的上下文。无论平台类型如何，整合都是将安全团队、过程和技术整合到一个安全架构中，以便提升效率，消除重复性任务，让分析师可以从繁琐任务中解脱出来，专注于更重要的活动。 

安全架构需要双向整合。相关重要威胁情报必须流经所有系统、战术手册和过程，令自动化有正确的数据可依。系统和工具必须将数据、事件和已捕获的内容反馈回中央存储库，供其他系统使用。中央存储库也是供学习和改进的组织记忆。 

最近，XDR解决方案异军突起，企业战略集团（ESG）将之定义为“跨混合IT架构的整合安全产品套件，旨在协同威胁预防、检测和响应。XDR将控制点、安全遥测、分析和操作整合到一个企业系统中。”由于组织机构都不会是白纸一张，摒弃和替换现有基础设施的意愿很低，统合之路更是困难重重。而且，不同部门的预算和团队不同，使用的解决方案也就各异。因此，采用单一供应商解决方案的决策过程充其量不过是在原地打转。 

XDR解决方案不能只在自身产品集中整合，必须在一定时期内（可能是几年）与一系列现有工具和技术整合。与SOAR工具一样，这种整合必须是双向的，这样才能汲取XDR解决方案的全部价值。更重要的是，时间将证明XDR解决方案提供商是否能够保持一流解决方案提供商的创新水平，将资源投注于解决特定用例、新型威胁和新兴威胁载体。

举个例子，疫情爆发以来，围绕新冠病毒的威胁活动层出不穷，在威胁响应中，许多商业威胁情报提供商、政府、开源情报馈送，以及MITER ATT&CK等框架，都提供了针对威胁和疫情爆发的宝贵数据。如何消费所有这些数据是个真正的大挑战，因为很多源都是新型的，没有现成的连接器来将这些馈送接入现有安全基础设施。组织机构的分析师团队都分身乏术，无法手动筛选众多新资源和大量威胁指征，更遑论做出操作响应。他们需要的是能在数小时内编写和部署的定制连接器，这些连接器要能接入任意类型的威胁情报馈送，以便可以从新来源快速提取威胁数据。任何一体化企业系统也需要这种级别的外部整合功能。

别误会，众所周知，复杂性是安全的敌人，而深度防御方法会因碎片化而引入复杂性。但更大、更广泛的解决方案无法独立解决这个问题。想要最大化整体效率，就需要发挥整合的作用。正如您在亚马逊Echo或谷歌Home的使用过程中体会到的，这些智能中心有各自的优势，但仍需保持开放和灵活，因为即使是这种产品，也不应该包揽所有任务。 

关键词：安全整合

相关链接

• 安全运营向通用UI进化