组织必须准备好收集、处理、分析和处理数TB的安全数据。“情报是我们的第一道防线,我们必须提高收集和分析情报的能力。”-SaxbyChamblissCISO应该将前佐治亚州参议员的这句话内化,并专注于上述网络安全防御。换句话说,所有关于网络安全战略、项目优先级、投资等的决策都应该根据实时和历史数据进行分析。什么类型的数据?EDR数据、网络元数据、云日志、身份数据、威胁情报等。这种数据爆炸的某些方面已经在发生。ESG研究表明:75%的企业组织正在收集、处理和分析比两年前更多的安全数据。近三分之一(32%)的组织声称收集、处理和分析的数据比2018年“多得多”。52%的组织将安全数据在线保存的时间比过去更长,另有28%的组织希望保存安全数据在线,但由于成本或运营原因无法这样做。为了适应更长的数据保留期,83%的公司使用离线或冷存储。这有助于控制基础设施成本,但会使追溯调查更加繁琐。2020年初,不断增长的安全数据分析和运营需求已经成为当务之急。COVID-19还通过引入新的数据分析用例、流量模式、行为分析需求和盲点来增加紧迫性。夏季结束后,首席信息安全官将开始2021年的规划流程。正如他们所做的那样,即使是规模较小的企业也需要为安全数据收集、处理和分析需求的巨大飞跃做好准备。以下是围绕这一转变的一些想法:CISO应该考虑统一的数据管理服务——所有安全数据的存储库,无论其来源、格式或类型如何。当他们做这项工作时,他们应该与CIO讨论,看看他们是否可以将安全和IT运营数据聚合到一个公共桶中。在所有行业中,无论合规性要求如何,安全数据收集、处理和分析的下一次迭代都将严重依赖基于云的资源。到2022年,大多数组织会将其所有安全数据转移到云端,或者将依赖混合架构,这些架构将占其基于云的基础架构的很大一部分。新一波大规模安全分析也需要云资源。目前,安全分析和运营工具往往侧重于威胁检测和响应。寻找用于网络风险管理的新一波大数据分析创新——攻击面管理、第三方风险管理和漏洞管理等依赖动态数据收集和分析的活动。考虑用于网络风险识别、优先级排序和缓解的实时CISO仪表板。该领域的工具来自AttackIQ、Bugcrowd、CyCognito、Randori等公司。通过收购Verodin,FireEye无疑也看到了安全分析/运营和网络风险管理的交叉点。安全分析需要前所未有的巨大规模。我们将看到托管安全服务提供商(AT&T、DeepWatch、Proficio等)的使用急剧增加——即使在大型企业中也是如此。那些单干的人可能需要ThetaPoint和其他公司专业服务的帮助。随着组织转向流数据进行实时分析,对安全数据管道专业知识的需求将会很高。由于很少有安全组织雇用数据管理工程师,因此需要专业的托管服务提供商来弥补这一差距。我们将看到所有类型的安全运营和分析平台架构(SOAPA)的显着增长——市场(如CrowdStrike和PAN)、合作伙伴关系(Google/Tanium、许多Splunk合作伙伴关系等),以及大量的并购活动。随着安全数据转移到云端,亚马逊、谷歌和微软等云服务提供商(CSP)将拥有巨大的主场优势。这就是为什么AmazonDetective、GoogleChronicle和MicrosoftAzureSentinel这三个公司一起进入安全分析和运营池的原因。为了竞争,其他供应商(例如Devo、Exabeam、LogRhym、Securonix等)必须在易用性、分析、流程自动化等方面超越本地CSP。与我之前的观点相关联,高级分析是一个新兴的战场。这也将把Palantir和SAS等数据分析专家带入游戏。这就是MicroFocus(ArcSight)收购Interset和SumoLogic收购JASK的原因。ELK堆栈等开源软件也将发挥作用,但大多数组织尚无法编写能够跟上安全分析/操作需求的规模和动态特性的开源工具。因此,基于云的业务解决方案将主导这个市场。我还不清楚XDR的作用,但它在不久的将来仍将是一项支持性技术计划。这一趋势的一个有趣方面是安全操作UI/UX的抽象化和集中化。这里的一些示例是IBM的CloudPakforSecurity和SplunkMissionControl。最后,有些人认为这些变化将对Splunk的领导地位构成真正的威胁,但我不这么认为。是的,Splunk必须灵活应对新的竞争对手和商业模式,但Splunk确实已经占领了这个市场,并且正在相应地进行投资和调整。未来还有很多变化,让我们拭目以待。
