幾十年以來,安全領域已經發生了巨大變化。企業不僅需要保護辦公室資產和股票等有形資產,同時,隨著企業越來越依靠技術和軟件來簡化日常運營,保護數字財產也變得至關重要。
網絡罪犯總在不斷嘗試獲取利潤豐厚的業務數據,而網絡攻擊會對企業財務帶來負面影響。根據企業互聯網服務提供商(ISP)Beaming的調查顯示,在2016年,英國企業因攻擊事故損失近300億英鎊。
如果企業想要抵御攻擊,監控和威脅檢測非常重要,同時,安全分析也正成為抵御攻擊的常用方式。安全分析涉及對安全數據的收集、匯總和分析,通常將數據集與復雜的檢測算法相結合。
安全分析非常多樣化,現在有很多方法來收集數據,包括軟件、云資源、外部威脅情報源和網絡流量等。根據Markets & Markets等報告顯示,在2016年,安全分析行業價值28.3億美元,到2021年將達到98億美元。但這個行業是否存在炒作呢?
作為一個市場,安全分析領域包含很多供應商。從老牌企業到快速成長的初創公司,企業面對著很多選擇,其中包括BAE Systems、E8 Security、Fortinet、惠普企業(HPE)、Huntsman Security、IBM、McAfee(前身是Intel Security)、LogRhythm、RSA、Securonix和Splunk等。
美國科技巨頭IBM是該這一領域的領先供應商之一,IBM提供廣泛的軟件,他們將分析放在網絡安全的核心。IBM為企業提供工具可檢測和識別最大安全威脅,該公司提供的功能包括日志管理、風險管理、漏洞管理、配置管理、事故取證和行為分析等。
IBM Security Europe首席技術官Martin Borrett稱,人工智能(AI)和分析已經成為網絡安全領域的領跑者,越來越多的企業開始投資于這些技術。
Borrett還指出:“復雜的網絡犯罪正以驚人的速度增長,我們需要尋找替代方法來打擊網絡犯罪,其中一種方法就是通過AI和高級分析。”
“在當今的市場中,我們看到大家對這一技術非常有信心,也看到日益增長的部署率。IBM商業價值研究院研究發現,近60%的安全專家認為認知安全系統可顯著減少網絡犯罪。該研究還顯示,在未來兩三年,部署認知安全系統的企業比率將會增加三倍,從7%增加到21%。
“我們看到很多公司都在積極嘗試認知技術和分析,這讓他們在安全服務方面經歷了很多改變,從更快更明智的決策到減少事件響應時間、復雜性和成本等。如果沒有這些技術,非結構化數據將仍然是網絡防御的致命弱點,因為這是一個巨大的盲點,占所有數據的80%以上。”
新型安全技術的崛起部署安全分析可能需要時間和金錢,特別是當企業還在使用過時的硬件和軟件。企業安全供應商ProtectWise聯合創始人兼首席技術官Gene Stevens稱,很多首席信息安全官發現很難以經濟高效且易于管理的方式在長時間內保留取證數據。而他的公司采用了一種智能的分析平臺來解決這個問題。
Stevens稱:“在網絡活動數據得以保存后,在發現攻擊時,安全團隊就可回過頭檢查并確定他們是否受到攻擊的影響,并可評估其影響程度。然而,保存取證數據等傳統方法成本高昂且部署費力。同時,隨著工作負載轉移到云端,這些傳統產品更加無法適應,而難以跟上攻擊技術的變化。對此,我們采用了一種新型企業安全方法來解決這些挑戰。”
該公司的ProtectWise Grid平臺可獲取全保真網絡流量以進行實時和回顧性分析,自動化大部分影響評估及數據收集工作,從而實現快速簡便的安全分析。
Stevens指出:“這使得部署和擴展變得很容易,并且,這種回顧性技術和無限制保留窗口可讓CISO有信心地宣稱,他們的企業不容易受到新威脅的攻擊,甚至可追溯一整年的數據。”
LogRhythm成立于2013年,該公司是安全分析領域的又一先驅者。盡管該公司的產品組合很廣泛,但該公司目前已經開始將大部分注意力集中在機器學習等新技術。他們已經開發出AI引擎可實時處理安全分析數據,以協助檢測高級威脅。
LogRhythm公司Emea(歐洲、中東和非洲)地區副總裁兼執行董事Ross Brewer表示:“隨著圍繞安全分析等炒作加劇,我們正看到五花八門的先進技術涌入市場。目前的安全情報和數據分析工具可對現有安全工具的數據進行自動匯總、關聯和分析取證,這些數據包括來自防火墻的日志數據以及來自行為分析系統的用戶行為數據等。”
“這可幫助那些原本需要手動執行這些活動以發現最大威脅的工作人員減輕負擔。這種水平的洞察力在正確的時間將正確的信息傳遞給合適的人,這樣攻擊就可在最早階段被發現,甚至在發生之前就能被發現。”
有價值的業務工具總部位于美國的Vasco同樣是安全分析領域的領導者,該公司開發的技術正用于匯豐銀行、美國銀行、德意志銀行和花旗銀行在內的全球最大銀行保護敏感信息和交易。該公司的客戶多達10,000多名,遍布全球100個國家。
Vasco公司產品主管Giovanni Verhaeghe稱,盡管安全分析仍處于早期發展階段,但它已被證明是有價值的業務工具。
他表示:“企業可基于對收集的數據的分析做出明智的安全決策,而分析技術會隨著時間而變得更加智能-這要歸功于其機器學習功能。”
“例如,基于安全分析的風險引擎已經可決定用戶是否能以不同于傳統一次性密碼(OTP)的方法進行特定交易。風險引擎還可分析用戶的環境和行為,并根據各種參數來做出決策。因此,更詳細的決策過程給交易安全帶來保障,而不是基于簡單的‘是或否’的OTP。”
盡管安全分析可給企業帶來顯著優勢,但它也不是沒有問題,Verhaeghe稱,復雜數據的興起將給CISO帶來挑戰。
他表示:“面對前所未有的數據量,特別是物聯網(IoT)等技術等發展,這里的主要挑戰是如何定義正確的參數和預期的結果。CISO將需要清楚地說明該技術可帶來什么改進,以確保數據得到適當處理以及抵御威脅。”
IT安全公司Rapid7首席產品官Lee Weiner是安全分析技術的堅定支持者,他表示安全分析最大的吸引力在于能夠提高可視性和生產力,“這里主要的優勢是提高可視性,查看和分析指標的新方法,甚至還有創造KPI(關鍵績效指標)的機會。其他優勢包括提高安全專業人員工作效率,以及減少風險和抵御攻擊。”
安全分析不斷發展不可否認的是,安全分析在商業世界中非常受歡迎,但它是否真的那么好呢?NTT Security公司研究與開發總監Daniel Dalek稱,這項技術正在改變商業格局,并正迅速成熟。他說:“在過去幾年中,安全分析發展迅速,畢竟傳統方法已經無法應對日益增加的數據量。”
“這種改變推動對專有存儲的使用、探索性分析新工具的部署,以及專注于流媒體應用和AI或機器學習方法的部署來對抗低效率的基于簽名檢測。從短期來看,這種技術轉變是資源密集型,因為它涉及技術堆棧的所有層面,而且大多數安全供應商都要努力適應該技術帶來的改變。”
“NTT Security已經開始看到一些長期好處,特別是通過構建精煉的數據集來訓練我們的機器學習模型。這使我們可脫離技術堆棧,并將我們的檢測能力擴展到各平臺和數據庫。”
富士通公司高級網絡威脅情報經理Paul McEvatt認為,隨著機器學習等技術的興起,安全分析技術正在不斷發展并發揮其潛力。
他表示:“現在收集日志非常重要,了解端點正在發生什么比以往任何時候都更重要。但在端點安裝防病毒軟件不再被視為足夠的保護,事實上,依賴簽名或規則關聯的技術已經遠遠不夠。好消息是,技術正在改進。機器學習、AI和自動化及編排等新概念正在推動這一變革。”
“這方面很好的例子是SIEM(安全信息和事件管理),這個傳統縱深防御層通常被看作是集成層,它可從各種來源收集日志,讓團隊可執行安全分析。隨著安全自動化和編排概念的引入,這種模型將會改變。這些將成為真正的集成層,SIEM將只是該堆棧的一個技術組件。”
McEvatt補充說:“現在越來越明確的是,編排多種安全技術,通過API(應用程序編程接口)將它們整合以及通過威脅情報將背景信息應用到事件ticket,這是安全操作的下一個生命周期。如果應用得當,自動化事件到一定水平,而不會涉及傳統一線和二線團隊,這將改善事件響應指標,讓工作人員騰出時間來進行真正的安全分析和主動威脅搜索。”
網絡安全威脅正變得越來越復雜,企業必須立即采取行動以防止黑客入侵。目前企業可通過多種方式來提高防御水平,而安全分析已經成為最流行的方法之一。在AI和機器學習等先進技術等帶領下,企業將獲得對關鍵IT系統的更高可視性。
京公網安備 11010502049343號