到目前為止，我已經寫了兩篇博客談我對下周RSA安全大會的期望。第一篇博客是關于端點安全的前景，第二篇則是關注網絡安全。

我現在也正在進行一個關于安全分析和操作的大型研究項目，我相信很多獨立技術將被集成到一個全面的架構中，ESG稱這個架構是SOAPA（即安全操作和分析平臺架構）。

考慮到SOAPA，下面是我期待在RSA大會上看到的：

1、網絡安全數據無處不在。網絡安全分析和操作過去主要是基于幾個主要數據源：日志文件和事件。應用、數據庫、網絡、安全和系統日志現在得到了大量其他數據源的補充——端點和網絡行為數據、威脅情報數據、惡意軟件分析、社交網絡數據等等。

事實上，我之所以期待看到安全分析和操作架構的原因純粹是當下被捕獲、處理和分析的安全數據量正在大量增長。其中很多數據仍然是分布式的，而安全分析和操作工具必須擁有跨所有這些領域的可見性、知識和決策能力。這意味著SOAPA將是一種以事件為驅動的軟件架構（想象一下SOA 2.0），具有高度分布式的數據管理基礎設施。我希望聽到廠商們談談他們對這種架構的想法和計劃。

2、SIEM還在。多年來我一直聽到“SIEM已死”這樣的說法，但我仍然不認同這種說法。我想說的是，SIEM正在發展中。例如，AlienVault是一個完整的操作和分析平臺。IBM以對QRadar進行了擴展，支持AppExchange和Resilient用于事件響應。LogRhythm增加了自己的主機代理和網絡安全分析，Splunk收購了Caspida獲得UBA，在自適應響應方面也做了很大努力。

雖然這些廠商都在尋求擴大覆蓋面，但真正發生的是，SIEM功能正在擴展成為一系列互連的功能、模塊和服務，換句話說，就是一個軟件架構。所有領先的SIEM廠商都需要確保他們的產品是為開放和集成而開發的，同時推動創新和并購活動，因為他們都在努力成為SOAPA的中心，用于連接合作伙伴提供的大量連接選項。

3、威脅情報日趨成熟。威脅情報在之前的RSA大會上很火，但是關注點是圍繞信息的，而不是如何利用威脅情報分析并從中獲益。2017年，這個話題都是關于情境化、操作和綜合威脅情報，從而我們看到像FlashPoint、Lookingglass、Record Future、ThreatConnect、ThreatQuotient等廠商推出了一系列創新的威脅情報平臺和工具。我期待聽到這些威脅情報廠商是如何致力于幫助組織機構解決新型業務風險問題，以及純網絡安全學科例如滲透測試、“狩獵”、事件響應等。

4、關于事件響應的持續熱烈討論。談到事件響應，在過去的12個月中事件響應自動化和調度表現出顯著的發展勢頭。此外，與我交流過的企業組織現在都愿意拋棄自己開發的軟件，采用來自像FireEye、Hexadite、IBM（Resilient）、Phantom、ServiceNow和Siemplify的商用工具。我想了解事件響應自動化和調度的成熟情況。重點更多的是在自動化上還是調度上？企業組織應該從哪里開始做起？過程是如何的？在這個過程中人的角色是什么，這些角色是如何改變的？

5、關于機器學習的炒作和現實情況。我預測，人工智能和機器學習將是今年RSA大會上的熱門話題。每個人都在談論它，但是沒有人能真正說清楚，讓安全專業人員了解人工智能和機器學習能干什么、適合什么地方。

在我看來，機器學習應該被視為一個智能的防御層，可以實現某些特定分析行為的自動化并加速這些行為。換句話說，今天機器學習還有一些局限性，但是這并不意味著它在適當的用例中就一點用處都沒有。有哪些用例？這就是我希望在今年RSA大會上探索的，像Darktrace、E8、Exabeam、Vectra、Securonix以及Sqrrl這些廠商。

6、服務、服務、服務。據ESG的研究，有45%的組織機構將在2017年遇到網絡安全技能短缺的問題。這意味著有近一半的組織機構可能并沒有他們自己的網絡安全人員或者人才庫來管理安全分析和操作。有哪些服務提供商填補這個空白？這是我希望在今年RSA大會上了解的。我知道現在有像BT、CSC、CrowdStrike、FireEye、Unisys、SecureWorks和賽門鐵克都在服務領域做得不錯，但是我希望進一步了解其中哪些廠商或者其他哪些安全網絡廠商可以繃住組織機構解決安全分析和操作的各方面要求。

我即將前往RSA大會，迫切地希望了解更多關于安全分析和操作的現在和未來，不見不散！