每個領域都有其縮寫詞，但是網絡安全領域可能有太多的縮寫詞。我們用這些縮寫詞來描述威脅來源，以及它們如何生效的，還會描述不同的安全團隊、他們的證書、以及他們使用的工具。縮寫本身沒啥毛病，但是當它們被用于描述新興的解決方案時，就會出現個有趣的現象——那個縮寫會被作為下一個能解決所有安全問題的銀色子彈技術。不過很可惜，這從來沒有實現。

縮寫和它們被期許的“價值”

追溯十年前Gartner定義的UTM：一種統一的安全產品，尤其適用于中小型企業，一般功能組會分為三個部分：防火墻/IPS/VPN、Web安全網關和信息傳輸安全。UTM理論上需要能滿足網絡線路中所需要的所有安全需求，但實際上并沒有。然后，NGFW就出現了，能夠定制化滿足企業特殊需求——只不過，依然沒有做到。

UTM和NGFW注重于對網絡線路進行防御。但是，隨著端點越來越多，關注點逐漸轉向這個已經擴大的攻擊面，業界隨之轉向EPP。那繞過了這些解決方案的威脅怎么辦?這不就有了EDR嗎?

最近比較火的縮寫應該是XDR，意味著擴展檢測與響應(Extended Detection and Response)。XDR最初的定義將其描述為基于EDR的一種新解決方案，“X”只是表示EDR的“擴展”或者“下一代”。但是其他我們還沒怎么關注的“檢測與響應”怎么辦?比如說流量檢測與響應(Network Detection and Response, NDR)和云檢測與響應(Cloud Detection and Response, CDR)?XDR也應該要包括這些東西，還有幾十種組織已經在他們環境中部署的安全工具。而這個系統還包括新出現的威脅檢測調查和響應(Threat Detection, Investigation and Repsonse, TDIR)平臺，用于解決SOC不僅需要檢測與響應能力，還需要“調查”的需求。

XDR和之后各種“變體”的目的，都是對整個基礎設施的檢測與響應，包括所有的攻擊來源、連接不同的供應商以及各種云端和本地部署的安全技術。那么，如何實現?XDR是一個目標方向，而不是一個解決方案;它只能用一個整體、結構化的解決方式。把它作為另一個銀子彈技術，或者另一個帶著新期許的縮寫，都不過是歷史的重演罷了。那樣的XDR無法為SOC的效率有任何提升。

從縮寫轉向用例

比起縮寫詞一波又一波的出現，我們面臨的攻擊才是更為持久不斷的。那就先把縮寫放在一邊，把注意力放在更重要的一些事情上——比如SOC作為現代化進行檢測和響應機構的使用情況。SOC的工作包括了告警追蹤、防魚叉式釣魚、事件響應、威脅狩獵與威脅情報管理。

如果要讓SOC更加有效，未來SOC還需要能夠具備以下能力：

專注于數據

數據是安全的血液，因為它能從系統、威脅、脆弱性、身份等內部與外部的資源，提供廣泛的上下文聯系。當安全是數據驅動的時候，團隊就能夠有上下文關聯，關注于更為相關的高優先級問題，從而進行最佳的決策并執行正確的操作。數據驅動的安全同樣能夠提供一個可持續的反饋循環，讓團隊能夠存儲和使用數據，以便提升未來的分析。

確保系統和工具能夠協同

由于團隊用于分析的數據會貫穿大部分組織，雙向集成可以讓團隊將數據匯聚到一個共同的工作面。一個開放式的集成架構可以從技術、威脅信息和其他第三方資源提供大量的數據接入能力。它同樣能讓團隊可以在進行決策后快速基于相關技術進行響應。

自動化與人類響應的平衡

提升團隊能力最有效的方式是用自動化取代重復、低風險、又耗時的任務，并意識到現在依然需要人類的分析能力。非正常的且高影響的緊急調查最好讓人類分析師帶頭處理，而自動化只是進行補充工作。在人類和機器相平衡的情況下，自動化確保團隊總是有最合適的工具。

SOC不需要另一個縮寫名詞代替。他們真正需要的是那些能夠讓他們更快更全面，解決他們最重要工作的能力。這才是安全行業真正需要應許的東西，而且這只有通過正確的架構才能實現。

點評

安全行業的新概念每年都在出現，不同的縮寫詞也是一個接一個地冒出來。但是，我們需要的是真正能夠解決問題的方案，而不是一堆縮寫詞和空炒的概念。SOC在國內的落地相對艱難，原因包括了技術集成能力上的不足，以及人才的匱乏。對于技術集成能力的不足，我們需要的不僅僅是另一個好聽的概念，而是真正能夠打通各類安全能力協同的架構——是不止于概念與理論，真正能夠落地并實踐的架構。