每天,一个中等规模企业的安全团队会收到上万条告警。这听起来像是防线严密,但前NSA红队成员Chas Clawson看到的却是另一番景象:分析师被数据淹没,真正的攻击信号反而像针掉进大海。
过去五年,安全运营中心(SOC)的投入几乎都指向一个方向——“看见更多”。端点、云服务、身份系统、遥测数据,能接的全接进来。从表面数字看,他们成功了,但随之而来的不是安全感的提升,而是告警疲劳。这个疲劳不是加班造成的,是上下文断裂造成的。
![]()
正方观点很直接:告警越多,发现攻击的概率越高。只要监控够广,总有蛛丝马迹会落网。但反方——那些每天处理告警的一线分析员——发现一个残酷事实:单条告警几乎永远讲不出完整故事。一次可疑登录、一个不常见进程或一条异常网络连接,单独看都人畜无害。然而,一旦把这些事件围绕同一个用户、同一台设备或同一个工作负载拼起来,攻击链就浮出来了。
Clawson在Sumo Logic担任安全战略副总裁,此前在NSA和美国联邦机构做了二十多年攻防。他反复强调一个点:安全团队在重建上下文上浪费了太多时间。很多团队不是缺数据,是缺把数据变成图景的能力。于是出现了一种新思路,不再为每一个孤立事件生成告警,而是围绕用户、设备、服务账号和工作负载建立检测模型。这样,分析师看到的就不再是几十条散落告警需要手动拼接,而是一幅动态变化的运行画像。
上下文难题还没解决,另一个争论又升温了:AI到底能不能用?正方说,把AI当成永远不会疲倦的日志阅读员,帮人筛选优先级、总结调查发现、自动生成响应剧本,甚至跨数据源关联证据。反方立刻泼冷水:没有正确数据策略,AI只是在噪音上再加一层噪音。Clawson的判断是,AI在SOC中的实战角色,不是替代分析员,而是像一个永远在线的队友——只要数据策略对,它能显著拉高响应速度。
数据策略本身也面临拆解。不是所有日志都需要同等对待。有些数据必须实时可查,有些在分析员看到之前就该被富化,有些遥测数据只需要归档以备合规或后续调查。决定什么数据放在哪里、保存多久,如今变得和决定采集什么数据一样重要。这不再是简单的存储问题,而是运营策略的核心组成。
7月23日,Clawson将在The New Stack的虚拟活动上进一步拆解这套思路。他不会给出一个万能药方,但会从检测、AI和数据管理三个维度,展示安全运营如何从“看更多”转向“看明白”。而这一点,恰是无数被警报淹没的SOC团队当下最需要的拐点。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.