一旦夏季結(jié)束,CISO們將啟動(dòng)2021年的規(guī)劃進(jìn)程。正如他們所做的那樣,即使是規(guī)模較小的企業(yè)也需要為安全數(shù)據(jù)收集、處理和分析需求的巨大飛躍做好準(zhǔn)備。
組織必須為收集、處理、分析和處理TB級(jí)的安全數(shù)據(jù)做好準(zhǔn)備。
“情報(bào)是我們的第一道防線,我們必須提高收集和分析情報(bào)的能力。”-Saxby Chambliss
CISO們應(yīng)該將這位前喬治亞州參議員的這句話內(nèi)化,將其重點(diǎn)放在網(wǎng)絡(luò)安全的防御上面。換句話說(shuō),包括所有關(guān)于網(wǎng)絡(luò)安全策略、項(xiàng)目?jī)?yōu)先級(jí)、投資等的決定都應(yīng)該根據(jù)實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)來(lái)進(jìn)行分析。什么類型的數(shù)據(jù)?EDR數(shù)據(jù)、網(wǎng)絡(luò)元數(shù)據(jù)、云日志、身份數(shù)據(jù)、威脅情報(bào)等。
●這種數(shù)據(jù)爆炸的某些方面其實(shí)已經(jīng)發(fā)生了。ESG的研究表明:
●75%的企業(yè)組織在收集、處理和分析比兩年前更多的安全數(shù)據(jù)。近三分之一(32%)的組織聲稱收集、處理和分析的數(shù)據(jù)比2018年“多得多”了。
●52%的組織在線保留安全數(shù)據(jù)的時(shí)間比過(guò)去更長(zhǎng)了,另有28%的組織也希望在線保留安全數(shù)據(jù),但由于成本或運(yùn)營(yíng)原因而無(wú)法保留。
●為了適應(yīng)更長(zhǎng)的數(shù)據(jù)保留期,83%的公司使用了離線或冷存儲(chǔ)。這有助于控制基礎(chǔ)設(shè)施成本,但會(huì)使追溯調(diào)查變得更加麻煩。
在2020年初,不斷增長(zhǎng)的安全數(shù)據(jù)分析和操作要求已經(jīng)是一個(gè)優(yōu)先事項(xiàng)了。通過(guò)引入新的數(shù)據(jù)分析用例、流量模式、行為分析需求和盲點(diǎn),COVID-19也變相增加了緊迫性。
一旦夏季結(jié)束,CISO們將啟動(dòng)2021年的規(guī)劃進(jìn)程。正如他們所做的那樣,即使是規(guī)模較小的企業(yè)也需要為安全數(shù)據(jù)收集、處理和分析需求的巨大飛躍做好準(zhǔn)備。
● 以下是圍繞這一轉(zhuǎn)變的一些想法:
●CISO應(yīng)該考慮一個(gè)統(tǒng)一的數(shù)據(jù)管理服務(wù)--一個(gè)存儲(chǔ)了所有安全數(shù)據(jù)的存儲(chǔ)庫(kù),無(wú)論其來(lái)源、格式或類型如何。當(dāng)他們從事這項(xiàng)工作時(shí),他們應(yīng)該與首席信息官一起討論,看看他們是否可以將安全和IT運(yùn)營(yíng)數(shù)據(jù)聚合到一個(gè)公共存儲(chǔ)桶中。
●在所有行業(yè)中,無(wú)論合規(guī)性的要求如何,安全數(shù)據(jù)的收集、處理和分析的下一次迭代都將在很大程度上依賴于基于云的資源。到2022年,大多數(shù)組織都將把所有的安全數(shù)據(jù)遷移到云端,或者依賴于混合架構(gòu),這些架構(gòu)在基于云的基礎(chǔ)設(shè)施中將占很大比重。
●大規(guī)模新的安全分析浪潮也將需要云資源。
●目前,安全分析和操作工具往往側(cè)重于威脅的檢測(cè)和響應(yīng)。需要尋找針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的新一輪大數(shù)據(jù)分析創(chuàng)新——攻擊面管理、第三方風(fēng)險(xiǎn)管理和漏洞管理等依賴于動(dòng)態(tài)數(shù)據(jù)收集和分析的活動(dòng)。考慮一下用于網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別、優(yōu)先級(jí)劃分和消減的實(shí)時(shí)CISO儀表板 。這一領(lǐng)域的工具有來(lái)自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收購(gòu)Verodin之后,無(wú)疑也看到了安全分析/運(yùn)營(yíng)和網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的交集。
●安全分析需要巨大的和前所未有的規(guī)模。我們將看到安全托管服務(wù)提供商(AT&T、DeepWatch、Proficio等)的使用會(huì)急劇增加--即使是在最大的企業(yè)。那些單獨(dú)行動(dòng)的人則可能需要來(lái)自ThetaPoint和其他公司專業(yè)服務(wù)的幫助。
●隨著組織轉(zhuǎn)向流式數(shù)據(jù)來(lái)進(jìn)行實(shí)時(shí)分析,對(duì)安全數(shù)據(jù)管道專業(yè)知識(shí)的需求將會(huì)很高。由于很少會(huì)有安全組織雇用數(shù)據(jù)管理工程師,因此將需要有專業(yè)和托管服務(wù)提供商來(lái)彌補(bǔ)這一差距。
●我們將看到所有類型的安全運(yùn)營(yíng)和分析平臺(tái)架構(gòu)(SOAPA)的長(zhǎng)足發(fā)展——市場(chǎng)(如CrowdStrike和PAN)、合作伙伴關(guān)系(Google/Tanium、許多Splunk合作伙伴關(guān)系等),以及大量的并購(gòu)活動(dòng)。
●隨著安全數(shù)據(jù)向云端轉(zhuǎn)移,像亞馬遜、谷歌和微軟這樣的云服務(wù)提供商(CSP)將有著巨大的主場(chǎng)優(yōu)勢(shì)。這也是為什么這三家公司的Amazon Detective、Google Chronicle和Microsoft Azure Sentinel一起進(jìn)入安全分析和運(yùn)營(yíng)池的原因了。為了競(jìng)爭(zhēng),其他供應(yīng)商(如Devo、Exabeam、LogRhym、Securonix等)必須在易用性、分析、流程自動(dòng)化等方面勝過(guò)本地CSP。
?聯(lián)系我先前的觀點(diǎn),高級(jí)分析是一個(gè)新興的戰(zhàn)場(chǎng)。這也將使Palantir、SAS等數(shù)據(jù)分析專家加入這場(chǎng)游戲。這也是為什么MicroFocus(ArcSight)收購(gòu)了Interset,而SumoLogic收購(gòu)了JASK的原因所在。
●ELK stack等開源軟件也將發(fā)揮作用,但大多數(shù)組織還都無(wú)法編寫開源工具,以跟上安全分析/運(yùn)營(yíng)需求的規(guī)模和動(dòng)態(tài)性質(zhì)。所以基于云的商業(yè)解決方案將占據(jù)這個(gè)市場(chǎng)。
●我還不清楚XDR的角色,但在不久的將來(lái),它仍將是一項(xiàng)支持性技術(shù)計(jì)劃。
●這一趨勢(shì)的一個(gè)有趣方面是安全操作UI/UX的抽象和集中化。這里的一些例子是IBM用于安全和Splunk任務(wù)控制的Cloud Pak。
●最后,有些人認(rèn)為這些變化會(huì)是對(duì)Splunk領(lǐng)導(dǎo)地位的真正威脅,但我不這么認(rèn)為。是的,Splunk必須靈活應(yīng)對(duì)新的競(jìng)爭(zhēng)對(duì)手和商業(yè)模式,但Splunk確實(shí)已經(jīng)占領(lǐng)了這個(gè)市場(chǎng),并在進(jìn)行相應(yīng)的投資和調(diào)整。
未來(lái)還有很多變化,讓我們拭目以待。