过去五年来,安全数据的收集,处理和分析已经爆炸式增长。事实上,最近ESG的安全分析研究发现,28%的组织表示他们收集,处理和分析了两年多的安全数据,另有49%的组织正在收集,处理和分析更多数据。
什么样的数据?它包括您的姓名,网络元数据,端点活动数据,威胁情报,DNS/DHCP,商业应用程序数据等。此外,我们不能忘记IaaS,PaaS和SaaS的安全数据的影响。
大规模安全数据增长的后果
安全数据的大量增长会产生许多后果,包括:
1.您需要更好的建模和安全数据管理。
根据SAS软件,大约80%的时间花在数据建模和管理的数据分析上。随着网络安全数据量的增长,我注意到了这一趋势。组织花费更多时间来确定要收集哪些数据,使用何种数据格式,在何处以及如何路由数据,重复数据删除,数据压缩,数据加密,数据存储等。
基于对数据管理不断增长的需求,ESG的分析和安全运营平台架构(SOAPA)与通用分布式数据管理层兼容,旨在为所有人提供此类数据管理服务安全数据由于大多数组织正在逐步采用SOAPA,因此应尽快考虑安全分析数据模型。简而言之,考虑一下您想要实现的目标,然后返回您需要的数据源。
2.搜索数据合成,丰富性和语境化。
所有安全数据元素都可以相互关联,但说起来容易做起来难。过去,许多组织依靠安全人员和电子表格来关联安全事件和不同分析工具生成的警报。当网络流量分析(NTA)工具检测到可疑流量时,分析人员获取源IP地址,调查DHCP服务器的IP租约历史记录,发现涉及哪个设备,然后提取由此发送的历史记录日志文件。装置。
鉴于这些手动任务的效率低下,我们看到同行分析工具的集成增加,并且对SOAPA的架构集成的需求也增加。行为分析,例如用户和实体行为分析(UEBA),通过一系列嵌套机器学习算法(ML)注入多个同时发生的安全数据事件,展示了合成的一些观点。数据。是的,行为分析是一项持续的工作,但我所看到的最近的创新和进步鼓励了我。
3.高性能要求。
大型组织正在监控数万个系统,每秒产生20,000多个事件,每天收集数TB的数据。这些数据需要高效的数据流水线和足够的网络,服务器和存储基础架构来实时移动,处理和分析这些数据。为了满足实时数据流水线的需求,我看到了Kafka消息总线的广泛使用。不要忘记,我们需要足够的力量来搜索从TB到PB的历史安全数据,以便进行事件响应和回顾性调查。这种需求导致基于开源(例如,ELK堆栈,Hadoop等)和商业产品的安全数据湖的增加。AI。
好消息是,所有这些数据为数据科学家提供了充分的机会来创建和测试数据模型,开发ML算法并对其进行改进。坏消息是,我们刚刚开始合并数据科学家和安全专业知识,以开发用于安全分析的人工智能。进步的信息安全官具有现实的态度。他希望通过提供更多实质性证据和提高风险评级环境,AI/ML可以提高人身安全警报的保真度。换句话说,AI/ML充当智能防御层,而不是独立的无所不知的安全分析之神。
5.基于云的安全性分析。
毫无疑问,许多组织想知道将大量资源仅用于收集,处理和存储太字节甚至数PB的安全数据是否方便,这是现代安全数据分析需求的先决条件。是否更容易大规模使用可扩展的基于云的资源?根据我对市场的观察,答案是肯定的。 IBM和Splunk报告称,他们在基于云的SIEM中的发展势头强劲。 SumoLogic声称拥有超过2,000个客户端,而Chronicle Backstory和Microsoft(Azure Sentinel)是基于云的安全性分析的新亮点。我希望亚马逊也加入这个行列。随着安全数据的不断增长,安全分析对云的“提升和转移”只会获得动力。
着名技术作家杰弗里摩尔曾经说过:“如果没有大数据分析,该公司将变得尴尬和尴尬,在路上像鹿一样在网上游荡。”虽然摩尔正在谈论网络的早期,但同样适用于安全分析。是的,组织可以通过强大的安全分析极大地提高他们降低风险,检测/响应威胁和自动化安全操作的能力。但是,要实现这些结果,CISO必须从一开始就全面规划和开展安全数据建模,管道和管理。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
