為“安全數據爆炸”做好準備
責編:gltian |2020-08-17 15:33:04
公司企業必須做好收集、處理、分析TB級安全數據,并據此作出響應的準備。
“情報是我們的第一道防線,我們必須提升情報收集和分析能力,保護美國及其盟友的安全。”
—— Saxby Chambliss,美國佐治亞州前參議員
CISO應內化引自這位前參議員的這句話,并外推其網絡安全防御核心要義。換句話說,圍繞網絡安全戰略、項目重點、安全投資的所有決策,都應基于對實時數據和歷史數據的分析做出。什么類型的數據?端點檢測與響應(EDR)數據、網絡元數據、云日志、身份數據、威脅情報等等。
數據爆炸已現端倪。企業戰略集團(ESG)表示:
- 相比2年前,75%的公司企業如今收集、處理和分析更多安全數據。近1/3(32%)的公司企業聲稱,所收集、處理和分析的數據比2018年顯著增多。
- 52%的公司企業在線保留安全數據的時間比以前更長,另有28%的公司企業想要在線保留安全數據,但出于成本或運營原因而無法這么做。
- 為將數據保留更長時間,83%的公司企業采用離線保存(冷存儲)方式。這么做有助于控制基礎設施成本,但令回溯調查更加困難。
2020年伊始,不斷增長的安全數據分析和運營要求,已成公司企業的工作重點。新冠疫情引入新的數據分析用例、流量模式、行為分析需求和盲點,愈加加重了安全數據分析和運營要求的緊迫性。
夏末初秋之時,CISO將開始2021年規劃進程。到那時,即使是小型企業,也需要準備好應對安全數據收集、處理和分析要求的巨變。
面對這一轉變,以下幾點思考可供參考:
- CISO應該考慮整合數據管理服務:統一存放所有安全數據,無論數據來源、格式或類型。真正著手此事時,CISO應與CIO商議,判斷是否能將安全和IT運營數據整合進通用存儲桶。
- 無論哪個行業,不管遵從哪種合規要求,安全數據收集、處理和分析的下一次迭代,都將重度依賴基于云的資源。到2022年,大多數公司企業都將把所有安全數據遷移到云端,或遷移至云基礎設施占比很重的混合架構。
- 一大波新型安全分析也需要云資源的支持。
- 安全分析和運營工具傾向于重點關注今天的威脅檢測與響應。要尋求圍繞大數據分析的新一輪創新來執行網絡風險管理,例如基于動態數據收集和分析的攻擊界面管理、第三方風險管理和漏洞管理。考慮采用實時CISO控制面板執行網絡風險識別、排序和緩解。AttackIQ、Bugcrowd、CyCognito、Randori等公司都有這方面的工具。FireEye則在收購Verodin之后,顯然看到了安全分析/運營與網絡風險管理之間的交集。
- 安全分析的規模空前擴大。我們將看到托管安全服務供應商(MSSP)用例陡然上升,甚至大型企業也紛紛啟用MSSP。單干的公司可能需要ThetaPoint等供應商的專業服務幫助。
- 隨著公司企業轉向流數據實時分析,安全數據管道專業技能將供不應求。由于很少有安全公司會聘用數據管理工程師,其間人才缺口便由專業和托管服務供應商填補。
- 我們將看到各種類型的安全運營和分析平臺架構(SOAPA)邁步向前:市場(CrowdStrike和PAN)、合作伙伴關系(Google/Tanium和諸多Splunk合作伙伴等),以及數不清的并購活動。
- 隨著安全數據飄向云端,亞馬遜、谷歌和微軟等云服務提供商(CSP)具有了主場優勢。這也是為什么云服務三巨頭全都下場逐鹿安全分析和運營市場的原因之一。亞馬遜有Amazon Detective,谷歌拿出Google Chronicle,微軟攜Azure Sentinel。為爭得市場份額,其他供應商(如Devo、Exabeam、LogRhythm、securonix等)必須在易用性、分析、過程自動化等方面勝過原生CSP。
- 高級分析尚屬新開辟的戰場。Palantir和SAS等數據分析專業公司將投身這一新興市場。MicroFocus(ArcSight)收購Interset,SumoLogic拿下JASK,也是瞄準了高級分析領域。
- ELK技術棧等開源軟件將發揮一定作用,但大多數公司企業無力編程開源工具,跟不上安全分析/運營需求的規模和動態本質。商業云解決方案將占據這塊市場。
- XDR角色未明,但在不遠的將來,XDR可能仍然是支持性技術倡議。
- 安全運營UI/UX的抽象和集中化趨勢是個很有趣的方面。IBM的Cloud Pak for Security和Splunk Mission Control都是個中樣例。
- 有些人認為這些改變是對Splunk領頭羊地位的現實威脅,但其實不然。確實,Splunk不得不靈活應對新的競爭者和業務模式,但Splunk確實是業界巨頭,而且也在做相應的投資和調整。
未來變數很多。保持敏銳,做好準備。
來源:數世咨詢