大规模新的数据安全分析浪潮也将需要云资源

组织必须为收集、处理、分析和处理TB级的安全数据做好准备。

“情报是我们的第一道防线，我们必须提高收集和分析情报的能力。”-Saxby Chambliss

CISO们应该将这位前乔治亚州参议员的这句话内化，将其重点放在网络安全的防御上面。换句话说，包括所有关于网络安全策略、项目优先级、投资等的决定都应该根据实时数据和历史数据来进行分析。什么类型的数据？EDR数据、网络元数据、云日志、身份数据、威胁情报等。

这种数据爆炸的某些方面其实已经发生了。ESG的研究表明：

•75%的企业组织在收集、处理和分析比两年前更多的安全数据。近三分之一（32%）的组织声称收集、处理和分析的数据比2018年“多得多”了。

•52%的组织在线保留安全数据的时间比过去更长了，另有28%的组织也希望在线保留安全数据，但由于成本或运营原因而无法保留。

•为了适应更长的数据保留期，83%的公司使用了离线或冷存储。这有助于控制基础设施成本，但会使追溯调查变得更加麻烦。

在2020年初，不断增长的安全数据分析和操作要求已经是一个优先事项了。通过引入新的数据分析用例、流量模式、行为分析需求和盲点，COVID-19也变相增加了紧迫性。

一旦夏季结束，CISO们将启动2021年的规划进程。正如他们所做的那样，即使是规模较小的企业也需要为安全数据收集、处理和分析需求的巨大飞跃做好准备。

以下是围绕这一转变的一些想法：

•CISO应该考虑一个统一的数据管理服务--一个存储了所有安全数据的存储库，无论其来源、格式或类型如何。当他们从事这项工作时，他们应该与首席信息官一起讨论，看看他们是否可以将安全和IT运营数据聚合到一个公共存储桶中。

•在所有行业中，无论合规性的要求如何，安全数据的收集、处理和分析的下一次迭代都将在很大程度上依赖于基于云的资源。到2022年，大多数组织都将把所有的安全数据迁移到云端，或者依赖于混合架构，这些架构在基于云的基础设施中将占很大比重。

•大规模新的安全分析浪潮也将需要云资源。

•目前，安全分析和操作工具往往侧重于威胁的检测和响应。需要寻找针对网络风险管理的新一轮大数据分析创新——攻击面管理、第三方风险管理和漏洞管理等依赖于动态数据收集和分析的活动。考虑一下用于网络风险识别、优先级划分和消减的实时CISO仪表板 。这一领域的工具有来自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收购Verodin之后，无疑也看到了安全分析/运营和网络风险管理的交集。

•安全分析需要巨大的和前所未有的规模。我们将看到安全托管服务提供商（AT&T、DeepWatch、Proficio等）的使用会急剧增加--即使是在最大的企业。那些单独行动的人则可能需要来自ThetaPoint和其他公司专业服务的帮助。

•随着组织转向流式数据来进行实时分析，对安全数据管道专业知识的需求将会很高。由于很少会有安全组织雇用数据管理工程师，因此将需要有专业和托管服务提供商来弥补这一差距。

•我们将看到所有类型的安全运营和分析平台架构（SOAPA）的长足发展——市场（如CrowdStrike和PAN）、合作伙伴关系（Google/Tanium、许多Splunk合作伙伴关系等），以及大量的并购活动。

•随着安全数据向云端转移，像亚马逊、谷歌和微软这样的云服务提供商（CSP）将有着巨大的主场优势。这也是为什么这三家公司的Amazon Detective、Google Chronicle和Microsoft Azure Sentinel一起进入安全分析和运营池的原因了。为了竞争，其他供应商（如Devo、Exabeam、LogRhym、Securonix等）必须在易用性、分析、流程自动化等方面胜过本地CSP。

•联系我先前的观点，高级分析是一个新兴的战场。这也将使Palantir、SAS等数据分析专家加入这场游戏。这也是为什么MicroFocus（ArcSight）收购了Interset，而SumoLogic收购了JASK的原因所在。

•ELK stack等开源软件也将发挥作用，但大多数组织还都无法编写开源工具，以跟上安全分析/运营需求的规模和动态性质。所以基于云的商业解决方案将占据这个市场。

•我还不清楚XDR的角色，但在不久的将来，它仍将是一项支持性技术计划。

•这一趋势的一个有趣方面是安全操作UI/UX的抽象和集中化。这里的一些例子是IBM用于安全和Splunk任务控制的Cloud Pak。

•最后，有些人认为这些变化会是对Splunk领导地位的真正威胁，但我不这么认为。是的，Splunk必须灵活应对新的竞争对手和商业模式，但Splunk确实已经占领了这个市场，并在进行相应的投资和调整。

未来还有很多变化，让我们拭目以待。
责任编辑：tzh