过去十年里,大数据爆炸影响了各行各业,需要新技术、新技能和新团队来利用这些数据影响业务目标,我们将其简明扼要地概括为商业智能(BI)。
商业智能的崛起让许多企业宣称他们拥护“数据驱动决策”。那么,为什么当我们审视我们的安全计划时,它们很少做出数据驱动的决策呢?
早期采用者:安全运营
由于大量日志数据被集中、规范化并进行检测分析,安全数据的使用在安全运营(SecOps)部门得到了最好的应用。大多数安全信息与事件管理(SIEM)工具还提供基于这些数据建立仪表盘的功能,供领导层和分析人员使用。
虽然这些功能催生了数据可视化和分析的使用,以了解大量的安全数据,但也存在一些挑战,使我相信SIEM平台不会出现下一次演变,主要原因有两个:
1.成本性价比
2.平台用例
成本性价比
“优化SIEM数据摄取,不仅仅是为了降低成本,而是要将数据的价格与其价值相匹配。”
SIEM工具价格昂贵已不是秘密,这主要是由于其数据摄取成本所致。目前,安全运营的趋势是只摄取所需的数据,以优化成本;换句话说,SIEM工具已成为一种“挑选与选择”的游戏。
再加上现代环境所产生的安全数据爆炸式增长,SIEM已难以在摄取更多数据的战斗中获胜。但我们为什么需要摄取更多数据呢?
仍有各种数据源和数据类型通常不被SIEM工具摄取,但它们却能为决策提供价值,例如:
漏洞管理
安全审计和评估结果
渗透测试
安全意识培训
政策、流程和其他管理数据
为了实现更多的分析用例,将更多的数据接入到摄取和存储成本都不经济的工具中,似乎很难说得通,尤其是当对话是“如何减少摄取”而不是“我们还能摄取什么?”时。
简而言之:将无助于检测的数据源摄取到SIEM的成本性价比是不够的。
平台使用案例
“如果你拥有的唯一工具是锤子,你会把所有事情都当成钉子。”
建立SIEM的目的是:检测和调查安全事件。虽然在这种情况下,分析和可视化相当简化,但如果将其延伸到GRC、安全测试、安全意识培训和其他情况下,SIEM作为首选分析工具的可行性就会迅速减弱。
例如,数据可视化通常是SOC经理和分析师使用的工具。虽然云托管SIEM的引入缓解了部分访问限制,但期望所有相关利益者都能访问SIEM以查看和使用安全分析结果还很牵强。
由于SIEM主要是安全工具,因此与R、Python、Tableau或PowerBI等其他行业标准工具相比,熟悉该平台的分析社区成员也较少。事实上,许多企业内部可能已经拥有熟悉这些工具的人才。
下一波浪潮:分析与检测脱钩
“在安全行业工作的人常常认为,安全方面的问题和趋势是独一无二的......”
在信息安全领域有这样一种现象:我们常常认为我们的问题是本领域独有的,所以不会在相邻学科中寻找解决方案,而是选择重新发明轮子。
信息安全项目的下一波分析浪潮可能不会局限于传统的安全工具(SIEM或其他),因为他们很快就会发现采用这些工具的两个障碍:
1.成本性价比
2.垂直应用案例
取而代之的是,企业将借鉴商业智能(BI)的做法,寻求建立连接安全数据的数据管道,并将其集中到成本较低的数据湖中。事实上,我们已经开始看到这种转变,企业将不常用于SIEM检测但仍有价值的数据保留在其他存储方法中。
利用以前未开发的数据
“信息是21世纪的石油,而分析则是内燃机”。
通过降低摄取和分析的成本价值,安全团队可以开始利用以前被忽视的新数据源。
您可以从石油开采的角度来看待这一现象。在石油行业,某些矿藏被认为开采难度大、成本高,无法合理开采。相反,在水平钻井和水力压裂等新技术改变了成本性价比之前,这些矿藏一直处于闲置状态。
正如这些新技术使石油行业能够利用以前未充分利用的石油储量一样,在安全分析中使用不同的技术,也能将以前未开发的数据源转化为正的投资回报率(ROI)。
例如,治理、风险与合规性(GRC)数据具有重要价值:为安全计划的目标、目的和控制奠定了基础。尽管有这样的价值,但许多企业在其安全分析计划中仍未利用这些数据,而是将其保存在电子表格、文档和演示文稿中。
为了解决这个问题,我们看到了一个新兴的“GRC工具”市场,其目的是通过软件实现GRC活动的可运营性。然而,大多数工具在作为整个组织的安全数据资产的分析工具,甚至仅仅是GRC数据方面的能力,都不尽如人意。
此外,目前分析的大多数安全数据都是结构化的。然而,还有大量非结构化数据产生,例如但不限于安全测试报告、安全问卷、合同、安全建议和威胁情报。使用可大规模分析非结构化数据的自然语言模型,实施专门的分析管道,可为这些数据提供洞察力。
打破数据孤岛
仅仅开发新的数据源是不够的,毕竟许多数据源都有自己的孤岛式分析功能,如漏洞管理数据。
我们经常听到有人雄心勃勃地要打破组织中的孤岛,改善跨部门协作和沟通。这一直是所有组织的目标,这一概念也有其可取之处。集中式安全分析使整个组织实现了民主化,并能从以前各自为政的数据中获得新的见解。
虽然在过去,安全运营团队可能是安全分析的主要创造者和消费者,但他们很少是唯一受到分析影响的团队。Helpdesk、身份和访问管理、人力资源、基础架构和开发等领域不仅提供安全数据,还直接受益于安全数据的分析和见解。
安全数据通常都是孤立的:生成、分析和使用都是在组织的一个独立部分内进行的。例如,开发团队可能会分析其应用程序安全测试、软件组成分析和单元测试的结果,但这些数据很少能走出开发团队的围墙,即使有,也是以幻灯片和其他向上报告的形式提供给管理层。将这些数据集中起来,在整个安全数据资产中进行关联,反而会释放出新的价值和洞察力。
支持分发
使用传统的商业智能基础架构,还可以让企业通过利益相关者已经习惯使用的相同工具来消费数据,从而减少在整个组织内分发分析结果时的摩擦。
在分散式安全分析中,数据在各个安全工具中进行分析和可视化。例如,您的网络钓鱼模拟工具可能报告最近的测试结果并生成一些图表。您的漏洞扫描仪可能能够生成可过滤的报告或Excel输出。但如果相邻的团队需要查看这些报告,会发生什么情况呢?
这样就形成了一个低效的访问网络,团队在不同的地方使用不同的工具访问安全分析。
在授权直接访问不可行的情况下,例如高管报告,我们会看到员工利用手动输入的指标和图表拼凑幻灯片。
另一方面,集中式安全分析利用与其他业务相同的基础架构,清理混乱的信息分发。
无论企业使用的是Microsoft Fabric、开放源代码,还是自制的分析管道,都可以将安全融入现有的数据文化,并利用现有的成熟技术来管理商业智能资源的生命周期。
当安全专业人员利用商业智能社区已经取得的进展并为组织贡献智能时,游戏规则就会发生变化。
结论
总之,信息安全数据分析的格局正在发生重大转变。正如我们所探讨的那样,传统SIEM工具在成本性价比和平台用例方面的局限性,正在促使企业为其安全分析需求寻求替代解决方案。未来的出路在于将分析从检测中解脱出来,采用商业智能(BI)的原则,更有效、更经济地集中、分析和分发安全数据。
通过采用成本较低的数据湖和利用能够处理结构化和非结构化数据的技术,安全团队可以利用大量以前未充分利用的数据源。这种转变不仅能带来更好的投资回报,还能更全面地了解安全状况。此外,打破数据孤岛,在整个组织内实现安全分析的民主化,将促进更好的协作,提高决策水平,并最终加强组织的安全态势。
随着我们向前迈进,很明显,将安全分析整合到更广泛的商业智能基础设施中,将会改变游戏规则。它将使安全专业人员从商业智能的进步中获益,为组织贡献有价值的见解,并确保安全数据不只是被收集,而是被充分利用。信息安全数据分析的新世界不仅仅是收集更多数据,而是更智能、更具战略性地利用我们拥有的数据,在不断变化的威胁环境中保护我们的数字资产和基础设施。
原文链接:
https://blog.securemetrics.io/p/the-new-world-of-data-analytics-in
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
