所有用于計算風險管理的“公式”往往有5個組成部分：安全事件的可能性;事件的影響;實體/資產的價值;實體/資產的脆弱性;對該實體/資產的威脅。這5種信息用于決定組織在何處，以及如何采取風險緩解措施。

網絡安全規劃和戰略要把這些因素考慮在內。業務管理人員幫助確定實體/資產的價值，以及這些實體/資產降級、被盜或不可用時的影響。安全、IT和風險團隊就實體/資產離線事件的可能性進行協作。最后，安全團隊在威脅和漏洞管理方面與IT運營部門合作。

在過去幾年中，安全技術在威脅管理方面發生了巨大變化，擴展檢測和響應即XDR的出現就是這種巨變的一種表現。提高安全效率和運營效率的需求催生了XDR這種技術架構，其技術原理就是基于統一數據源、可見性和分析，來更好的做到對威脅的預防、檢測和響應。

隨著XDR的發展，業界認識到了各種數據和工具整合在威脅管理中的重要性。如發現所有實體/資產(用戶、帳戶、應用程序、系統、敏感數據)的能力，查看所有實體/資產之間關系的能力，并了解所有實體/資產的安全態勢(軟件配置文件、配置狀態、完整性、公司政策的合規情況等)。這些信息是網絡安全決策的基礎，包括風險緩解、安全需求、如何使用預算等。在沒有全面可見性的情況下，安全決策就變成了安全猜測。

SOPV：安全觀察、優先級和驗證

在集成和整合的大趨勢下，有可能以下幾個獨立的安全技術將結合在一起形成一個體系架構，也就是這篇文章論述的SOPV，安全觀察、優先級和驗證。其中，包括了以下幾種技術：

1.漏洞管理。如同防病毒一樣，漏洞管理雖然有著各種各樣的問題(如始終處于被動，新漏洞不斷涌現，永遠打不完的補丁)，但它也是一個最為基礎的安全措施。

2.資產管理。即通過API從CMDB(配置管理數據庫)、漏洞管理、端點管理工具等多種系統收集信息。目標是呈現更全面的實體/資產及其態勢清單。

3.攻擊面管理(ASM)。漏洞管理和資產管理系統無法掃描或收集未知的資產信息，而且隨著互聯網暴露面(如域名、IP地址、SSL證書、用戶憑據等)的不斷增加，這個問題變得更加嚴重。

4.云安全態勢管理(CSPM)。CSPM提供對云工作負載的深度可見性，也將會是SOPV架構的重要組成。

5.風險評分系統。盡管全面了解所有實體/資產很重要，但沒有人希望安全團隊被大量的數據淹沒。相反，收集盡可能多數據的目標是為了分析，并給出風險級別的評分，以幫助組織做出正確的風險緩解決策。

6.連續自動滲透和攻擊測試(CAPAT)。信奉Gartner的人稱其為入侵和攻擊模擬(BAS)，旨在從攻擊者的角度出發，來驗證各種檢測分析保護工具的有效性。例如，風險評分系統可能會認為某個實體/資產屬于低風險，但卻被BAS驗證出，實際上這個資產可以被攻擊者利用來危害關鍵業務系統。

與XDR的出現如出一轍，向SOPV的演進也是必然，因為現有的安全管理工具和流程不僅復雜、不完整，同時成本還高，效果也差強人意。一些安全提供商已經在向SOPV方向發展。思科收購了風險評分領導廠商Kenna Security，微軟收購了RiskIQ，派拓網絡收購了ASM供應商Expanse，FireEye收購了CAPAT玩家Verodin。此外，漏洞管理的三大巨頭Qualys、Rapid7和Tenable也在朝著這個方向發展。

SOPV還需要什么?

1.與XDR一樣，SOPV是一種體系架構，而不是許多產品的堆集。因此，SOPV的成功將取決于標準數據格式、開放API和行業合作。

2.除了上面強調的幾種技術外，SOPV還需要與身份和訪問管理系統(IAM)打通，以了解用戶、帳戶、訪問權限等，同時還需要一些數據發現和分類功能。

3.必須了解實體/資產之間的關系，才能真正有效地了解脆弱性，了解攻擊者如何利用一個實體/資產攻擊另一個實體/資產。

4.SOPV還需要可見性和對安全控制的深度理解。這就是為什么需要CAPAT技術的一個主要原因。

5.最后，不管是SOPV還是XDR，流程自動化和安全閉環都是成功的必要因素。

點評

SOPV是調研機構ESG新近提出的概念。如同前兩年態勢感知時代時提出的SOAPA(安全運營和分析平臺架構)，ESG偏向提出覆蓋“所有”功能的統一架構/平臺。這些概念雖然有著統一的大背景、趨勢和需求，但實際上缺乏內在的技術邏輯性，更偏向于功能的簡單堆集。簡而言之，SOPV試圖做大而全，而XDR正是因為無法做大而全(態勢感知)而退一步聚焦于檢測與響應的權宜之計，更具有現實意義。但SOPV強調的“全面、整合、自動化、驗證”等理念還是非常值得借鑒的。