公司企业必须做好收集、处理、分析TB级安全数据,并据此作出响应的准备。
“情报是我们的第一道防线,我们必须提升情报收集和分析能力,保护美国及其盟友的安全。”
—— Saxby Chambliss,美国佐治亚州前参议员
CISO应内化引自这位前参议员的这句话,并外推其网络安全防御核心要义。换句话说,围绕网络安全战略、项目重点、安全投资的所有决策,都应基于对实时数据和历史数据的分析做出。什么类型的数据?端点检测与响应(EDR)数据、网络元数据、云日志、身份数据、威胁情报等等。
数据爆炸已现端倪。企业战略集团(ESG)表示:
相比2年前,75%的公司企业如今收集、处理和分析更多安全数据。近1/3(32%)的公司企业声称,所收集、处理和分析的数据比2018年显著增多。
52%的公司企业在线保留安全数据的时间比以前更长,另有28%的公司企业想要在线保留安全数据,但出于成本或运营原因而无法这么做。
为将数据保留更长时间,83%的公司企业采用离线保存(冷存储)方式。这么做有助于控制基础设施成本,但令回溯调查更加困难。
2020年伊始,不断增长的安全数据分析和运营要求,已成公司企业的工作重点。新冠疫情引入新的数据分析用例、流量模式、行为分析需求和盲点,愈加加重了安全数据分析和运营要求的紧迫性。
夏末初秋之时,CISO将开始2021年规划进程。到那时,即使是小型企业,也需要准备好应对安全数据收集、处理和分析要求的巨变。
面对这一转变,以下几点思考可供参考:
CISO应该考虑整合数据管理服务:统一存放所有安全数据,无论数据来源、格式或类型。真正着手此事时,CISO应与CIO商议,判断是否能将安全和IT运营数据整合进通用存储桶。
无论哪个行业,不管遵从哪种合规要求,安全数据收集、处理和分析的下一次迭代,都将重度依赖基于云的资源。到2022年,大多数公司企业都将把所有安全数据迁移到云端,或迁移至云基础设施占比很重的混合架构。
一大波新型安全分析也需要云资源的支持。
安全分析和运营工具倾向于重点关注今天的威胁检测与响应。要寻求围绕大数据分析的新一轮创新来执行网络风险管理,例如基于动态数据收集和分析的攻击界面管理、第三方风险管理和漏洞管理。考虑采用实时CISO控制面板执行网络风险识别、排序和缓解。AttackIQ、Bugcrowd、CyCognito、Randori等公司都有这方面的工具。FireEye则在收购Verodin之后,显然看到了安全分析/运营与网络风险管理之间的交集。
安全分析的规模空前扩大。我们将看到托管安全服务供应商(MSSP)用例陡然上升,甚至大型企业也纷纷启用MSSP。单干的公司可能需要ThetaPoint等供应商的专业服务帮助。
随着公司企业转向流数据实时分析,安全数据管道专业技能将供不应求。由于很少有安全公司会聘用数据管理工程师,其间人才缺口便由专业和托管服务供应商填补。
我们将看到各种类型的安全运营和分析平台架构(SOAPA)迈步向前:市场(CrowdStrike和PAN)、合作伙伴关系(Google/Tanium和诸多Splunk合作伙伴等),以及数不清的并购活动。
随着安全数据飘向云端,亚马逊、谷歌和微软等云服务提供商(CSP)具有了主场优势。这也是为什么云服务三巨头全都下场逐鹿安全分析和运营市场的原因之一。亚马逊有Amazon Detective,谷歌拿出Google Chronicle,微软携Azure Sentinel。为争得市场份额,其他供应商(如Devo、Exabeam、LogRhythm、securonix等)必须在易用性、分析、过程自动化等方面胜过原生CSP。
高级分析尚属新开辟的战场。Palantir和SAS等数据分析专业公司将投身这一新兴市场。MicroFocus(ArcSight)收购Interset,SumoLogic拿下JASK,也是瞄准了高级分析领域。
ELK技术栈等开源软件将发挥一定作用,但大多数公司企业无力编程开源工具,跟不上安全分析/运营需求的规模和动态本质。商业云解决方案将占据这块市场。
XDR角色未明,但在不远的将来,XDR可能仍然是支持性技术倡议。
安全运营UI/UX的抽象和集中化趋势是个很有趣的方面。IBM的Cloud Pak for Security和Splunk Mission Control都是个中样例。
有些人认为这些改变是对Splunk领头羊地位的现实威胁,但其实不然。确实,Splunk不得不灵活应对新的竞争者和业务模式,但Splunk确实是业界巨头,而且也在做相应的投资和调整。
未来变数很多。保持敏锐,做好准备。
关键词:大数据安全;安全分析;
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。