如何為數(shù)據(jù)爆炸性增長做好準(zhǔn)備

何靜

組織必須為收集、處理、分析和處理TB級的安全數(shù)據(jù)做好準(zhǔn)備。“情報是第一道防線，我們必須提高收集和分析情報的能力。”———Saxby Chambliss

CISO們應(yīng)該將這位前喬治亞州參議員的這句話內(nèi)化，將其重點放在網(wǎng)絡(luò)安全的防御上。換句話說，包括所有關(guān)于網(wǎng)絡(luò)安全策略、項目優(yōu)先級及投資等決定都應(yīng)該根據(jù)實時數(shù)據(jù)和歷史數(shù)據(jù)來進(jìn)行分析。什么類型的數(shù)據(jù)？EDR數(shù)據(jù)、網(wǎng)絡(luò)元數(shù)據(jù)、云日志、身份數(shù)據(jù)及威脅情報等。

這種數(shù)據(jù)爆炸的某些方面其實已經(jīng)發(fā)生了。ESG的研究表明：

75 %的企業(yè)組織在收集、處理和分析比2年前更多的安全數(shù)據(jù)。32 %的組織聲稱收集、處理和分析的數(shù)據(jù)比2018年多得多；

52 %的組織在線保留安全數(shù)據(jù)的時間比過去更長了，另有28 %的組織也希望在線保留安全數(shù)據(jù)，但由于成本或運(yùn)營原因而無法保留；

為了適應(yīng)更長的數(shù)據(jù)保留期，83 %的公司使用了離線或冷存儲，這有助于控制基礎(chǔ)設(shè)施成本，但會使追溯調(diào)查變得更加麻煩。

在2020年初，不斷增長的安全數(shù)據(jù)分析和操作要求已經(jīng)是一個優(yōu)先事項了。通過引入新的數(shù)據(jù)分析用例、流量模式、行為分析需求和盲點，COVID-19也變相增加了緊迫性。

一旦夏季結(jié)束，CISO們將啟動2021年的規(guī)劃進(jìn)程。正如他們所做的那樣，即使是規(guī)模較小的企業(yè)也需要為安全數(shù)據(jù)收集、處理和分析需求的巨大飛躍做好準(zhǔn)備。

以下是圍繞這一轉(zhuǎn)變的一些想法：

CISO應(yīng)該考慮一個統(tǒng)一的數(shù)據(jù)管理服務(wù)，一個存儲了所有安全數(shù)據(jù)的存儲庫，無論其來源、格式或類型如何。當(dāng)他們從事這項工作時，應(yīng)該與首席信息官一起討論，看看是否可以將安全和IT運(yùn)營數(shù)據(jù)聚合到一個公共存儲桶中。

在所有行業(yè)中，無論合規(guī)性的要求如何，安全數(shù)據(jù)的收集、處理和分析的下一次迭代都將在很大程度上依賴于基于云的資源。到2022年，大多數(shù)組織都將把所有的安全數(shù)據(jù)遷移到云端，或者依賴于混合架構(gòu)，這些架構(gòu)在基于云的基礎(chǔ)設(shè)施中將占很大比重。

目前，安全分析和操作工具往往側(cè)重于威脅的檢測和響應(yīng)。需要尋找針對網(wǎng)絡(luò)風(fēng)險管理的新一輪大數(shù)據(jù)分析創(chuàng)新———攻擊面管理、第三方風(fēng)險管理和漏洞管理等依賴于動態(tài)數(shù)據(jù)收集和分析的活動。

安全分析需要巨大的和前所未有的規(guī)模。我們將看到安全托管服務(wù)提供商（AT&T，DeepWatch，Proficio等）的使用會急劇增加，即使是在比較大的企業(yè)。那些單獨行動的人則可能需要來自ThetaPoint和其他公司專業(yè)服務(wù)的幫助。

隨著組織轉(zhuǎn)向流式數(shù)據(jù)來進(jìn)行實時分析，對安全數(shù)據(jù)管道專業(yè)知識的需求將會很高。由于很少會有安全組織雇用數(shù)據(jù)管理工程師，因此將需要有專業(yè)和托管服務(wù)提供商來彌補(bǔ)這一差距。

我們將看到所有類型的安全運(yùn)營和分析平臺架構(gòu)的長足發(fā)展，市場、合作伙伴關(guān)系以及大量的并購活動。

隨著安全數(shù)據(jù)向云端轉(zhuǎn)移，像亞馬遜、谷歌和微軟這樣的云服務(wù)提供商（CSP）將有巨大的主場優(yōu)勢。這也是為什么這3家公司的AmazonDetective，GoogleChronicle，MicrosoftAzure Sentinel一起進(jìn)入安全分析和運(yùn)營池的原因了。為了競爭，其他供應(yīng)商（如Devo，Exabeam，LogRhym，Securonix等）必須在易用性、分析及流程自動化等方面勝過本地CSP。

聯(lián)系先前的觀點，高級分析是一個新興的戰(zhàn)場。這也將使Palantir，SAS等數(shù)據(jù)分析專家加入這場游戲，這也是為什么MicroFocus（ArcSight）收購了Interset，而SumoLogic收購了JASK的原因所在。

ELK stack等開源軟件也將發(fā)揮作用，但大多數(shù)組織還都無法編寫開源工具，以跟上安全分析/運(yùn)營需求的規(guī)模和動態(tài)性質(zhì)。所以基于云的商業(yè)解決方案將占據(jù)這個市場。

現(xiàn)在還不清楚XDR的角色，但在不久的將來，它將是一項支持性技術(shù)計劃。

最后，有些人認(rèn)為這些變化會是對Splunk領(lǐng)導(dǎo)地位的真正威脅，但我不這么認(rèn)為。Splunk必須靈活應(yīng)對新的競爭對手和商業(yè)模式，但Splunk確實已經(jīng)占領(lǐng)了這個市場，并在進(jìn)行相應(yīng)的投資和調(diào)整。

未來還有很多變化，讓我們拭目以待。