組織必須為收集、處理、分析和處理TB級(jí)的安全數(shù)據(jù)做好準(zhǔn)備。

“情報(bào)是我們的第一道防線(xiàn)，我們必須提高收集和分析情報(bào)的能力?！?Saxby Chambliss

CISO們應(yīng)該將這位前喬治亞州參議員的這句話(huà)內(nèi)化，將其重點(diǎn)放在網(wǎng)絡(luò)安全的防御上面。換句話(huà)說(shuō)，包括所有關(guān)于網(wǎng)絡(luò)安全策略、項(xiàng)目?jī)?yōu)先級(jí)、投資等的決定都應(yīng)該根據(jù)實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)來(lái)進(jìn)行分析。什么類(lèi)型的數(shù)據(jù)？EDR數(shù)據(jù)、網(wǎng)絡(luò)元數(shù)據(jù)、云日志、身份數(shù)據(jù)、威脅情報(bào)等。

這種數(shù)據(jù)爆炸的某些方面其實(shí)已經(jīng)發(fā)生了。ESG的研究表明：

?75%的企業(yè)組織在收集、處理和分析比兩年前更多的安全數(shù)據(jù)。近三分之一（32%）的組織聲稱(chēng)收集、處理和分析的數(shù)據(jù)比2018年“多得多”了。

?52%的組織在線(xiàn)保留安全數(shù)據(jù)的時(shí)間比過(guò)去更長(zhǎng)了，另有28%的組織也希望在線(xiàn)保留安全數(shù)據(jù)，但由于成本或運(yùn)營(yíng)原因而無(wú)法保留。

?為了適應(yīng)更長(zhǎng)的數(shù)據(jù)保留期，83%的公司使用了離線(xiàn)或冷存儲(chǔ)。這有助于控制基礎(chǔ)設(shè)施成本，但會(huì)使追溯調(diào)查變得更加麻煩。

在2020年初，不斷增長(zhǎng)的安全數(shù)據(jù)分析和操作要求已經(jīng)是一個(gè)優(yōu)先事項(xiàng)了。通過(guò)引入新的數(shù)據(jù)分析用例、流量模式、行為分析需求和盲點(diǎn)，COVID-19也變相增加了緊迫性。

一旦夏季結(jié)束，CISO們將啟動(dòng)2021年的規(guī)劃進(jìn)程。正如他們所做的那樣，即使是規(guī)模較小的企業(yè)也需要為安全數(shù)據(jù)收集、處理和分析需求的巨大飛躍做好準(zhǔn)備。

以下是圍繞這一轉(zhuǎn)變的一些想法：

?CISO應(yīng)該考慮一個(gè)統(tǒng)一的數(shù)據(jù)管理服務(wù)--一個(gè)存儲(chǔ)了所有安全數(shù)據(jù)的存儲(chǔ)庫(kù)，無(wú)論其來(lái)源、格式或類(lèi)型如何。當(dāng)他們從事這項(xiàng)工作時(shí)，他們應(yīng)該與首席信息官一起討論，看看他們是否可以將安全和IT運(yùn)營(yíng)數(shù)據(jù)聚合到一個(gè)公共存儲(chǔ)桶中。

?在所有行業(yè)中，無(wú)論合規(guī)性的要求如何，安全數(shù)據(jù)的收集、處理和分析的下一次迭代都將在很大程度上依賴(lài)于基于云的資源。到2022年，大多數(shù)組織都將把所有的安全數(shù)據(jù)遷移到云端，或者依賴(lài)于混合架構(gòu)，這些架構(gòu)在基于云的基礎(chǔ)設(shè)施中將占很大比重。

?大規(guī)模新的安全分析浪潮也將需要云資源。

?目前，安全分析和操作工具往往側(cè)重于威脅的檢測(cè)和響應(yīng)。需要尋找針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的新一輪大數(shù)據(jù)分析創(chuàng)新——攻擊面管理、第三方風(fēng)險(xiǎn)管理和漏洞管理等依賴(lài)于動(dòng)態(tài)數(shù)據(jù)收集和分析的活動(dòng)?？紤]一下用于網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別、優(yōu)先級(jí)劃分和消減的實(shí)時(shí)CISO儀表板 。這一領(lǐng)域的工具有來(lái)自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收購(gòu)Verodin之后，無(wú)疑也看到了安全分析/運(yùn)營(yíng)和網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的交集。

?安全分析需要巨大的和前所未有的規(guī)模。我們將看到安全托管服務(wù)提供商（AT&T、DeepWatch、Proficio等）的使用會(huì)急劇增加--即使是在最大的企業(yè)。那些單獨(dú)行動(dòng)的人則可能需要來(lái)自ThetaPoint和其他公司專(zhuān)業(yè)服務(wù)的幫助。

?隨著組織轉(zhuǎn)向流式數(shù)據(jù)來(lái)進(jìn)行實(shí)時(shí)分析，對(duì)安全數(shù)據(jù)管道專(zhuān)業(yè)知識(shí)的需求將會(huì)很高。由于很少會(huì)有安全組織雇用數(shù)據(jù)管理工程師，因此將需要有專(zhuān)業(yè)和托管服務(wù)提供商來(lái)彌補(bǔ)這一差距。

?我們將看到所有類(lèi)型的安全運(yùn)營(yíng)和分析平臺(tái)架構(gòu)（SOAPA）的長(zhǎng)足發(fā)展——市場(chǎng)（如CrowdStrike和PAN）、合作伙伴關(guān)系（Google/Tanium、許多Splunk合作伙伴關(guān)系等），以及大量的并購(gòu)活動(dòng)。

?隨著安全數(shù)據(jù)向云端轉(zhuǎn)移，像亞馬遜、谷歌和微軟這樣的云服務(wù)提供商（CSP）將有著巨大的主場(chǎng)優(yōu)勢(shì)。這也是為什么這三家公司的Amazon Detective、Google Chronicle和Microsoft Azure Sentinel一起進(jìn)入安全分析和運(yùn)營(yíng)池的原因了。為了競(jìng)爭(zhēng)，其他供應(yīng)商（如Devo、Exabeam、LogRhym、Securonix等）必須在易用性、分析、流程自動(dòng)化等方面勝過(guò)本地CSP。

?聯(lián)系我先前的觀(guān)點(diǎn)，高級(jí)分析是一個(gè)新興的戰(zhàn)場(chǎng)。這也將使Palantir、SAS等數(shù)據(jù)分析專(zhuān)家加入這場(chǎng)游戲。這也是為什么MicroFocus（ArcSight）收購(gòu)了Interset，而SumoLogic收購(gòu)了JASK的原因所在。

?ELK stack等開(kāi)源軟件也將發(fā)揮作用，但大多數(shù)組織還都無(wú)法編寫(xiě)開(kāi)源工具，以跟上安全分析/運(yùn)營(yíng)需求的規(guī)模和動(dòng)態(tài)性質(zhì)。所以基于云的商業(yè)解決方案將占據(jù)這個(gè)市場(chǎng)。

?我還不清楚XDR的角色，但在不久的將來(lái)，它仍將是一項(xiàng)支持性技術(shù)計(jì)劃。

?這一趨勢(shì)的一個(gè)有趣方面是安全操作UI/UX的抽象和集中化。這里的一些例子是IBM用于安全和Splunk任務(wù)控制的Cloud Pak。

?最后，有些人認(rèn)為這些變化會(huì)是對(duì)Splunk領(lǐng)導(dǎo)地位的真正威脅，但我不這么認(rèn)為。是的，Splunk必須靈活應(yīng)對(duì)新的競(jìng)爭(zhēng)對(duì)手和商業(yè)模式，但Splunk確實(shí)已經(jīng)占領(lǐng)了這個(gè)市場(chǎng)，并在進(jìn)行相應(yīng)的投資和調(diào)整。

未來(lái)還有很多變化，讓我們拭目以待。
責(zé)任編輯：tzh