Gartner表示,盡管機構投入在安全方面的經費非常高,達到了空前的水平,大企業的安全方面的風險也達到了空前高漲的水平。各種先進的攻擊帶來的影響已經引起了企業董事會層面的關注,對于安全問題的高度重視讓很多企業擁有了更多的資金,讓他們能夠在抵御這類攻擊的時候能夠有更多勝算。
Gartner 的研究總監Eric Ahlm表示,“安全隱患檢測是安全買家最關心的事,這個領域的技術宣稱能夠在空前的噪音背景下發現或者探測出先進的攻擊。”他表示,“安全分析平臺讓用戶能夠感知到安全事件的發生,這些平臺收集并分析一整套更為廣泛的數據,這樣對組織傷害最大的安全隱患就會優先被探測,并且具有更高的準確度。”
將大量的能夠分析的安全數據收集起來對于安全事件、安全信息和事件管理(SIEM)技術以及可能的解決方案來說具有非常重大的意義。雖然絕大多數SIEM產品都具有收集、存儲和分析安全數據的能力,這意味著可以從數據存儲中抽取出來(例如在SIEM中可以找到安全數據)取決于數據的檢查方式。SIEM完成自動分析——相比于用戶的查詢和規則——的能力的高低將成為區分SIEM供應商水平高下的主要指標。
用戶行為分析(UBA)是另一個已經吸引了買家注意的安全分析的例子。UBA可以分析用戶的行為,這和檢測用戶信用卡防止盜竊的欺詐檢測系統異曲同工。UBA系統在探測有意義的安全事件方面也非常有效,例如有危險的用戶賬戶和心懷不軌的內部人。不過很多UBA系統能夠分析的可不僅僅是用戶信息,它們還能夠分析例如設備和地理位置等信息,而且還可以強化分析功能,以便分析更多的數據點,提高安全隱患探測的準確性。
Ahlm先生表示,“今天,有很多可行的商業分析應用工具能夠更好地定位安全技術,例如SIEM和UBA供應商。”他表示,“但是,這些應用或者其他的問題也可能被安全市場的其他新興版塊覆蓋,安全行業的分析應用還非常不成熟。”
隨著安全分析平臺逐漸成熟,準確性不斷提高,其創新推動因素就變成了分析可以使用多少數據。今天,關于主機、網絡、用戶和外部行動者的信息是最常見的、納入分析的數據。然而,將情景信息納入分析的價值則是真正無限的,并且讓擁有有趣的數據的用戶和希望提高自己產品效用的安全供應商擁有了新的機會。
總的來說,分析系統往往能夠實現更好地分析傾向,或者類似的元數據,數據存儲讓它們能夠快速、幾乎是實時地找出有趣的發現。這種方法的挑戰在于重大的安全事件,例如安全破壞并不會一次性全部發生。它們可能是一個早期指標,幾個小時之后出現一個小的事件,在幾天甚至幾個月之后才會出現數據泄露事件。當這三件事被視為是同一個事件,只是碰巧在時間上跨越了——比如說三個月,那么由幾個優先級較小的時間構成的整個事件的整體優先級就高得多了,這就是為什么“回溯”是分析系統中一個關鍵概念的原因。
Ahlm 先生表示,“最終,輸出大數據分析結果的真正的人類用戶界面將極大地決定了這項技術是否能夠得到采用或者被認為能夠在合理的時間范圍內產生有用的信息。”他表示,“像其他已經使用了大數據分析尋找新事物或者產生新結果的領域一樣,數據的可視化將極大地影響這項技術的推廣。”
Gartner的報告——《市場趨勢:安全分析——安全問題的新希望抑或只是炒作?》——中提供了更多信息。該報告可以在Gartner的網站上獲取。
Gartner Security &Risk Management Summits上將更多地探討業務中斷攻擊,該峰會將于6月8日至11日在馬里蘭州的National Harbor,8月10日至11日在圣保羅;8月24日至25日在澳大利亞悉尼以及9月14日至15日在英國的倫敦召開。
京公網安備 11010502049343號