每天,一個中等規模企業的安全團隊會收到上萬條告警。這聽起來像是防線嚴密,但前NSA紅隊成員Chas Clawson看到的卻是另一番景象:分析師被數據淹沒,真正的攻擊信號反而像針掉進大海。
過去五年,安全運營中心(SOC)的投入幾乎都指向一個方向——“看見更多”。端點、云服務、身份系統、遙測數據,能接的全接進來。從表面數字看,他們成功了,但隨之而來的不是安全感的提升,而是告警疲勞。這個疲勞不是加班造成的,是上下文斷裂造成的。
![]()
正方觀點很直接:告警越多,發現攻擊的概率越高。只要監控夠廣,總有蛛絲馬跡會落網。但反方——那些每天處理告警的一線分析員——發現一個殘酷事實:單條告警幾乎永遠講不出完整故事。一次可疑登錄、一個不常見進程或一條異常網絡連接,單獨看都人畜無害。然而,一旦把這些事件圍繞同一個用戶、同一臺設備或同一個工作負載拼起來,攻擊鏈就浮出來了。
Clawson在Sumo Logic擔任安全戰略副總裁,此前在NSA和美國聯邦機構做了二十多年攻防。他反復強調一個點:安全團隊在重建上下文上浪費了太多時間。很多團隊不是缺數據,是缺把數據變成圖景的能力。于是出現了一種新思路,不再為每一個孤立事件生成告警,而是圍繞用戶、設備、服務賬號和工作負載建立檢測模型。這樣,分析師看到的就不再是幾十條散落告警需要手動拼接,而是一幅動態變化的運行畫像。
上下文難題還沒解決,另一個爭論又升溫了:AI到底能不能用?正方說,把AI當成永遠不會疲倦的日志閱讀員,幫人篩選優先級、總結調查發現、自動生成響應劇本,甚至跨數據源關聯證據。反方立刻潑冷水:沒有正確數據策略,AI只是在噪音上再加一層噪音。Clawson的判斷是,AI在SOC中的實戰角色,不是替代分析員,而是像一個永遠在線的隊友——只要數據策略對,它能顯著拉高響應速度。
數據策略本身也面臨拆解。不是所有日志都需要同等對待。有些數據必須實時可查,有些在分析員看到之前就該被富化,有些遙測數據只需要歸檔以備合規或后續調查。決定什么數據放在哪里、保存多久,如今變得和決定采集什么數據一樣重要。這不再是簡單的存儲問題,而是運營策略的核心組成。
7月23日,Clawson將在The New Stack的虛擬活動上進一步拆解這套思路。他不會給出一個萬能藥方,但會從檢測、AI和數據管理三個維度,展示安全運營如何從“看更多”轉向“看明白”。而這一點,恰是無數被警報淹沒的SOC團隊當下最需要的拐點。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.