組織必須為收集、處理、分析和處理TB級的安全數(shù)據(jù)做好準(zhǔn)備。

“情報是我們的第一道防線，我們必須提高收集和分析情報的能力。”-Saxby Chambliss

[[336982]]

CISO們應(yīng)該將這位前喬治亞州參議員的這句話內(nèi)化，將其重點(diǎn)放在網(wǎng)絡(luò)安全的防御上面。換句話說，包括所有關(guān)于網(wǎng)絡(luò)安全策略、項目優(yōu)先級、投資等的決定都應(yīng)該根據(jù)實(shí)時數(shù)據(jù)和歷史數(shù)據(jù)來進(jìn)行分析。什么類型的數(shù)據(jù)?EDR數(shù)據(jù)、網(wǎng)絡(luò)元數(shù)據(jù)、云日志、身份數(shù)據(jù)、威脅情報等。

這種數(shù)據(jù)爆炸的某些方面其實(shí)已經(jīng)發(fā)生了。ESG的研究表明:

• 75%的企業(yè)組織在收集、處理和分析比兩年前更多的安全數(shù)據(jù)。近三分之一(32%)的組織聲稱收集、處理和分析的數(shù)據(jù)比2018年“多得多”了。
• 52%的組織在線保留安全數(shù)據(jù)的時間比過去更長了，另有28%的組織也希望在線保留安全數(shù)據(jù)，但由于成本或運(yùn)營原因而無法保留。
• 為了適應(yīng)更長的數(shù)據(jù)保留期，83%的公司使用了離線或冷存儲。這有助于控制基礎(chǔ)設(shè)施成本，但會使追溯調(diào)查變得更加麻煩。

在2020年初，不斷增長的安全數(shù)據(jù)分析和操作要求已經(jīng)是一個優(yōu)先事項了。通過引入新的數(shù)據(jù)分析用例、流量模式、行為分析需求和盲點(diǎn)，COVID-19也變相增加了緊迫性。

一旦夏季結(jié)束，CISO們將啟動2021年的規(guī)劃進(jìn)程。正如他們所做的那樣，即使是規(guī)模較小的企業(yè)也需要為安全數(shù)據(jù)收集、處理和分析需求的巨大飛躍做好準(zhǔn)備。

以下是圍繞這一轉(zhuǎn)變的一些想法:

• CISO應(yīng)該考慮一個統(tǒng)一的數(shù)據(jù)管理服務(wù)--一個存儲了所有安全數(shù)據(jù)的存儲庫，無論其來源、格式或類型如何。當(dāng)他們從事這項工作時，他們應(yīng)該與首席信息官一起討論，看看他們是否可以將安全和IT運(yùn)營數(shù)據(jù)聚合到一個公共存儲桶中。
• 在所有行業(yè)中，無論合規(guī)性的要求如何，安全數(shù)據(jù)的收集、處理和分析的下一次迭代都將在很大程度上依賴于基于云的資源。到2022年，大多數(shù)組織都將把所有的安全數(shù)據(jù)遷移到云端，或者依賴于混合架構(gòu)，這些架構(gòu)在基于云的基礎(chǔ)設(shè)施中將占很大比重。
• 大規(guī)模新的安全分析浪潮也將需要云資源。
• 目前，安全分析和操作工具往往側(cè)重于威脅的檢測和響應(yīng)。需要尋找針對網(wǎng)絡(luò)風(fēng)險管理的新一輪大數(shù)據(jù)分析創(chuàng)新——攻擊面管理、第三方風(fēng)險管理和漏洞管理等依賴于動態(tài)數(shù)據(jù)收集和分析的活動。考慮一下用于網(wǎng)絡(luò)風(fēng)險識別、優(yōu)先級劃分和消減的實(shí)時CISO儀表板 。這一領(lǐng)域的工具有來自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收購Verodin之后，無疑也看到了安全分析/運(yùn)營和網(wǎng)絡(luò)風(fēng)險管理的交集。
• 安全分析需要巨大的和前所未有的規(guī)模。我們將看到安全托管服務(wù)提供商(AT&T、DeepWatch、Proficio等)的使用會急劇增加--即使是在比較大的企業(yè)。那些單獨(dú)行動的人則可能需要來自ThetaPoint和其他公司專業(yè)服務(wù)的幫助。
• 隨著組織轉(zhuǎn)向流式數(shù)據(jù)來進(jìn)行實(shí)時分析，對安全數(shù)據(jù)管道專業(yè)知識的需求將會很高。由于很少會有安全組織雇用數(shù)據(jù)管理工程師，因此將需要有專業(yè)和托管服務(wù)提供商來彌補(bǔ)這一差距。
• 我們將看到所有類型的安全運(yùn)營和分析平臺架構(gòu)(SOAPA)的長足發(fā)展——市場(如CrowdStrike和PAN)、合作伙伴關(guān)系(Google/Tanium、許多Splunk合作伙伴關(guān)系等)，以及大量的并購活動。
• 隨著安全數(shù)據(jù)向云端轉(zhuǎn)移，像亞馬遜、谷歌和微軟這樣的云服務(wù)提供商(CSP)將有著巨大的主場優(yōu)勢。這也是為什么這三家公司的Amazon Detective、Google Chronicle和Microsoft Azure Sentinel一起進(jìn)入安全分析和運(yùn)營池的原因了。為了競爭，其他供應(yīng)商(如Devo、Exabeam、LogRhym、Securonix等)必須在易用性、分析、流程自動化等方面勝過本地CSP。
• 聯(lián)系我先前的觀點(diǎn)，高級分析是一個新興的戰(zhàn)場。這也將使Palantir、SAS等數(shù)據(jù)分析專家加入這場游戲。這也是為什么MicroFocus(ArcSight)收購了Interset，而SumoLogic收購了JASK的原因所在。
• ELK stack等開源軟件也將發(fā)揮作用，但大多數(shù)組織還都無法編寫開源工具，以跟上安全分析/運(yùn)營需求的規(guī)模和動態(tài)性質(zhì)。所以基于云的商業(yè)解決方案將占據(jù)這個市場。
• 我還不清楚XDR的角色，但在不久的將來，它仍將是一項支持性技術(shù)計劃。
• 這一趨勢的一個有趣方面是安全操作UI/UX的抽象和集中化。這里的一些例子是IBM用于安全和Splunk任務(wù)控制的Cloud Pak。
• 最后，有些人認(rèn)為這些變化會是對Splunk領(lǐng)導(dǎo)地位的真正威脅，但我不這么認(rèn)為。是的，Splunk必須靈活應(yīng)對新的競爭對手和商業(yè)模式，但Splunk確實(shí)已經(jīng)占領(lǐng)了這個市場，并在進(jìn)行相應(yīng)的投資和調(diào)整。

未來還有很多變化，讓我們拭目以待。