“情报是我们的第一道防线,我们必须提高收集和分析情报的能力。”-SaxbyChambliss
CISO们应该将这位前乔治亚州参议员的这句话内化,将其重点放在网络安全的防御上面。换句话说,包括所有关于网络安全策略、项目优先级、投资等的决定都应该根据实时数据和历史数据来进行分析。什么类型的数据?EDR数据、网络元数据、云日志、身份数据、威胁情报等。
这种数据爆炸的某些方面其实已经发生了。ESG的研究表明:
75%的企业组织在收集、处理和分析比两年前更多的安全数据。近三分之一(32%)的组织声称收集、处理和分析的数据比2018年“多得多”了。
52%的组织在线保留安全数据的时间比过去更长了,另有28%的组织也希望在线保留安全数据,但由于成本或运营原因而无法保留。
为了适应更长的数据保留期,83%的公司使用了离线或冷存储。这有助于控制基础设施成本,但会使追溯调查变得更加麻烦。
在2020年初,不断增长的安全数据分析和操作要求已经是一个优先事项了。通过引入新的数据分析用例、流量模式、行为分析需求和盲点,COVID-19也变相增加了紧迫性。
一旦夏季结束,CISO们将启动2021年的规划进程。正如他们所做的那样,即使是规模较小的企业也需要为安全数据收集、处理和分析需求的巨大飞跃做好准备。
以下是围绕这一转变的一些想法:
CISO应该考虑一个统一的数据管理服务--一个存储了所有安全数据的存储库,无论其来源、格式或类型如何。当他们从事这项工作时,他们应该与首席信息官一起讨论,看看他们是否可以将安全和IT运营数据聚合到一个公共存储桶中。
在所有行业中,无论合规性的要求如何,安全数据的收集、处理和分析的下一次迭代都将在很大程度上依赖于基于云的资源。到2022年,大多数组织都将把所有的安全数据迁移到云端,或者依赖于混合架构,这些架构在基于云的基础设施中将占很大比重。
大规模新的安全分析浪潮也将需要云资源。
目前,安全分析和操作工具往往侧重于威胁的检测和响应。需要寻找针对网络风险管理的新一轮大数据分析创新——攻击面管理、第三方风险管理和漏洞管理等依赖于动态数据收集和分析的活动。考虑一下用于网络风险识别、优先级划分和消减的实时CISO仪表板。这一领域的工具有来自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收购Verodin之后,无疑也看到了安全分析/运营和网络风险管理的交集。
安全分析需要巨大的和前所未有的规模。我们将看到安全托管服务提供商(AT&T、DeepWatch、Proficio等)的使用会急剧增加--即使是在比较大的企业。那些单独行动的人则可能需要来自ThetaPoint和其他公司专业服务的帮助。
随着组织转向流式数据来进行实时分析,对安全数据管道专业知识的需求将会很高。由于很少会有安全组织雇用数据管理工程师,因此将需要有专业和托管服务提供商来弥补这一差距。
我们将看到所有类型的安全运营和分析平台架构(SOAPA)的长足发展——市场(如CrowdStrike和PAN)、合作伙伴关系(Google/Tanium、许多Splunk合作伙伴关系等),以及大量的并购活动。
随着安全数据向云端转移,像亚马逊、谷歌和微软这样的云服务提供商(CSP)将有着巨大的主场优势。这也是为什么这三家公司的AmazonDetective、GoogleChronicle和MicrosoftAzureSentinel一起进入安全分析和运营池的原因了。为了竞争,其他供应商(如Devo、Exabeam、LogRhym、Securonix等)必须在易用性、分析、流程自动化等方面胜过本地CSP。
联系我先前的观点,高级分析是一个新兴的战场。这也将使Palantir、SAS等数据分析专家加入这场游戏。这也是为什么MicroFocus(ArcSight)收购了Interset,而SumoLogic收购了JASK的原因所在。
ELKstack等开源软件也将发挥作用,但大多数组织还都无法编写开源工具,以跟上安全分析/运营需求的规模和动态性质。所以基于云的商业解决方案将占据这个市场。
我还不清楚XDR的角色,但在不久的将来,它仍将是一项支持性技术计划。
这一趋势的一个有趣方面是安全操作UI/UX的抽象和集中化。这里的一些例子是IBM用于安全和Splunk任务控制的CloudPak。
最后,有些人认为这些变化会是对Splunk领导地位的真正威胁,但我不这么认为。是的,Splunk必须灵活应对新的竞争对手和商业模式,但Splunk确实已经占领了这个市场,并在进行相应的投资和调整。
未来还有很多变化,让我们拭目以待。