“情報是我們的第一道防線,我們必須提高收集和分析情報的能力。”-Saxby Chambliss
CISO們應該將這位前喬治亞州參議員的這句話內化,將其重點放在網絡安全的防御上面。換句話說,包括所有關于網絡安全策略、項目優先級、投資等的決定都應該根據實時數據和歷史數據來進行分析。什么類型的數據?EDR數據、網絡元數據、云日志、身份數據、威脅情報等。
這種數據爆炸的某些方面其實已經發生了。ESG的研究表明:
•75%的企業組織在收集、處理和分析比兩年前更多的安全數據。近三分之一(32%)的組織聲稱收集、處理和分析的數據比2018年“多得多”了。
•52%的組織在線保留安全數據的時間比過去更長了,另有28%的組織也希望在線保留安全數據,但由于成本或運營原因而無法保留。
•為了適應更長的數據保留期,83%的公司使用了離線或冷存儲。這有助于控制基礎設施成本,但會使追溯調查變得更加麻煩。
在2020年初,不斷增長的安全數據分析和操作要求已經是一個優先事項了。通過引入新的數據分析用例、流量模式、行為分析需求和盲點,COVID-19也變相增加了緊迫性。
一旦夏季結束,CISO們將啟動2021年的規劃進程。正如他們所做的那樣,即使是規模較小的企業也需要為安全數據收集、處理和分析需求的巨大飛躍做好準備。
以下是圍繞這一轉變的一些想法:
•CISO應該考慮一個統一的數據管理服務--一個存儲了所有安全數據的存儲庫,無論其來源、格式或類型如何。當他們從事這項工作時,他們應該與首席信息官一起討論,看看他們是否可以將安全和IT運營數據聚合到一個公共存儲桶中。
•在所有行業中,無論合規性的要求如何,安全數據的收集、處理和分析的下一次迭代都將在很大程度上依賴于基于云的資源。到2022年,大多數組織都將把所有的安全數據遷移到云端,或者依賴于混合架構,這些架構在基于云的基礎設施中將占很大比重。
•大規模新的安全分析浪潮也將需要云資源。
•目前,安全分析和操作工具往往側重于威脅的檢測和響應。需要尋找針對網絡風險管理的新一輪大數據分析創新——攻擊面管理、第三方風險管理和漏洞管理等依賴于動態數據收集和分析的活動。考慮一下用于網絡風險識別、優先級劃分和消減的實時CISO儀表板 。這一領域的工具有來自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收購Verodin之后,無疑也看到了安全分析/運營和網絡風險管理的交集。
•安全分析需要巨大的和前所未有的規模。我們將看到安全托管服務提供商(AT&T、DeepWatch、Proficio等)的使用會急劇增加--即使是在最大的企業。那些單獨行動的人則可能需要來自ThetaPoint和其他公司專業服務的幫助。
•隨著組織轉向流式數據來進行實時分析,對安全數據管道專業知識的需求將會很高。由于很少會有安全組織雇用數據管理工程師,因此將需要有專業和托管服務提供商來彌補這一差距。
•我們將看到所有類型的安全運營和分析平臺架構(SOAPA)的長足發展——市場(如CrowdStrike和PAN)、合作伙伴關系(Google/Tanium、許多Splunk合作伙伴關系等),以及大量的并購活動。
•隨著安全數據向云端轉移,像亞馬遜、谷歌和微軟這樣的云服務提供商(CSP)將有著巨大的主場優勢。這也是為什么這三家公司的Amazon Detective、Google Chronicle和Microsoft Azure Sentinel一起進入安全分析和運營池的原因了。為了競爭,其他供應商(如Devo、Exabeam、LogRhym、Securonix等)必須在易用性、分析、流程自動化等方面勝過本地CSP。
•聯系我先前的觀點,高級分析是一個新興的戰場。這也將使Palantir、SAS等數據分析專家加入這場游戲。這也是為什么MicroFocus(ArcSight)收購了Interset,而SumoLogic收購了JASK的原因所在。
•ELK stack等開源軟件也將發揮作用,但大多數組織還都無法編寫開源工具,以跟上安全分析/運營需求的規模和動態性質。所以基于云的商業解決方案將占據這個市場。
•我還不清楚XDR的角色,但在不久的將來,它仍將是一項支持性技術計劃。
•這一趨勢的一個有趣方面是安全操作UI/UX的抽象和集中化。這里的一些例子是IBM用于安全和Splunk任務控制的Cloud Pak。
•最后,有些人認為這些變化會是對Splunk領導地位的真正威脅,但我不這么認為。是的,Splunk必須靈活應對新的競爭對手和商業模式,但Splunk確實已經占領了這個市場,并在進行相應的投資和調整。
未來還有很多變化,讓我們拭目以待。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號