目前提高網絡安全防御能力的新技術，包括機器學習算法改進安全分析或漏洞管理， SOAR(安全編排、自動化和響應)平臺幫助組織機構自動化手動流程和簡化安全操作，以及入侵和攻擊模擬工具，它們能夠幫助組織機構識別風險并進行持續評估和提高安全。

這些技術顯示出了巨大的潛力，當然也不乏炒作。

企業采用這些技術的時候，流程和技術本身仍然不夠成熟，雖然可以預期這些技術的獲益，但均處于緩慢而謹慎地發展狀態中。

本文旨在提出一些更具突破性的前景技術：1. Apache Kafka(分布式消息隊列)根據 ESG 的研究，與兩年前相比，有 77% 的企業收集、處理和分析了更多的安全數據。

都是什么樣的數據呢?一切數據：日志數據、網絡數據包和流、網絡威脅情報、應用數據、云遙測等等。

這對于持續的安全監控是有意義的，但是移動和處理實時數據流需要高度擴展的數據管道。

Apache Kafka 是一個分布式流媒體平臺(最初由 LinkedIn 開發)，每天可以處理數萬億起事件。

Apache Kafka 為萬億字節的安全遙測提供了發布 / 訂閱消息總線，然后將其實時提供給多個分析引擎。

因此，Apache Kafka(和其他工具，如 RabbitMQ)可以幫助企業實現更快速的威脅檢測和響應。

最早的 Apache Kafka 主要應用于基層開發工作中，但是從那時候起供應商就注意到它。

在 2018 年，為了利用框架和其他 SIEM 工具，Splunk 為 Kafka 提供了一個連接器，安全分析供應商也參與其中。

如果沒有具有高性能、高擴展性和管理良好的數據管道，我們就無法收集、處理、分析和執行安全遙測。

Apache Kafka 正在這個領域發揮真正的作用。

2. MITRE ATT&CK 框架 (MAF)讓我們面對現實吧，多年來 MITRE 經歷了一些波折和失誤，推出了一些復雜的技術框架，這些框架從未得到除了美國聯邦政府之外其他方的認可 (如 FCAPS) 。

為什么 MAF 會不同?正如孫子所言：“知己知彼，百戰不殆。

” 在很多情況下，網絡安全分析師對自己了解很多，但對敵人了解卻很少，因此他們傾向于單獨處理每一起安全事件，而不是尋找攻擊模式。

Lockheed Martin 在 2011 年通過引入 “殺傷鏈” (kill chain) 改變了人們的網絡安全思維，但安全團隊需要先進的威脅情報和安全分析技能，才能將安全事件對應到 Lockheed 的模型中。

MAF 通過充當 “粘合劑” 來填補了這一空白，幫助分析人員將殺傷鏈上的單個事件置于情境中進行視覺化，并向他們提供詳細的指導，告訴他們下一步該從哪里著手來發現更大規模的網絡安全攻擊。

隨著 MAF 用戶的增加，MAF 支持在所有類型的安全分析工具中無處不在也就不足為奇了。

遵循孫子的智慧，MAF 迫使網絡安全分析師像其對手一樣思考。

難怪它會產生如此深遠的影響。

3. OpenC2這個 OASIS 標準比 Apache Kafka 或 MAF 更難懂，實際上它還沒有產生什么影響，然而它有很大的潛力。

OpenC2 創建了一個抽象層，用于標準化安全控制的通信和指令。

例如，假設某個組織機構收到了特定IP地址是惡意的高保真威脅情報。

立即響應會在所有安全控制中阻止這個 IP 地址。

在現有的安全技術下，這可能意味著要將這一規則轉換成供應商特定的語法，這在大型異構企業中可能很麻煩。

這就是為什么 SIEM、SOAR 和 TIP 供應商(以及其他供應商)花費如此多的時間和精力開發連接器和建立合作伙伴生態系統的原因。

OpenC2 可以通過通用標準來減輕這種需要轉譯問題。

與單獨的連接器不同，端點安全軟件、防火墻、代理、DNS 服務等安全控制能夠和 OpenC2 通信，因此分析引擎可以為所有相關的安全控制發布一個統一的規則。

相信這種標準化可以真正對自動化、加速和擴展數據驅動的安全流程有幫助。