gartner表示,盡管機構投入在安全方面的經費非常高,達到了空前的水準,大企業的安全方面的風險也達到了空前高漲的水準。各種先進的攻擊帶來的影響已經引起了企業董事會層面的關注,對于安全問題的高度重視讓很多企業擁有了更多的資金,讓他們能夠在抵禦這類攻擊的時候能夠有更多勝算。
gartner 的研究總監eric ahlm表示,“安全隐患檢測是安全買家最關心的事,這個領域的技術宣稱能夠在空前的噪音背景下發現或者探測出先進的攻擊。”他表示,“安全分析平台讓使用者能夠感覺到安全事件的發生,這些平台收集并分析一整套更為廣泛的資料,這樣對組織傷害最大的安全隐患就會優先被探測,并且具有更高的準确度。”
将大量的能夠分析的安全資料收集起來對于安全事件、安全資訊和事件管理(siem)技術以及可能的解決方案來說具有非常重大的意義。雖然絕大多數siem産品都具有收集、存儲和分析安全資料的能力,這意味着可以從資料存儲中抽取出來(例如在siem中可以找到安全資料)取決于資料的檢查方式。siem完成自動分析——相比于使用者的查詢和規則——的能力的高低将成為區分siem供應商水準高下的主要名額。
使用者行為分析(uba)是另一個已經吸引了買家注意的安全分析的例子。uba可以分析使用者的行為,這和檢測使用者信用卡防止盜竊的欺詐檢測系統異曲同工。uba系統在探測有意義的安全事件方面也非常有效,例如有危險的使用者賬戶和心懷不軌的内部人。不過很多uba系統能夠分析的可不僅僅是使用者資訊,它們還能夠分析例如裝置和地理位置等資訊,而且還可以強化分析功能,以便分析更多的資料點,提高安全隐患探測的準确性。
ahlm先生表示,“今天,有很多可行的商業分析應用工具能夠更好地定位安全技術,例如siem和uba供應商。”他表示,“但是,這些應用或者其他的問題也可能被安全市場的其他新興版塊覆寫,安全行業的分析應用還非常不成熟。”
随着安全分析平台逐漸成熟,準确性不斷提高,其創新推動因素就變成了分析可以使用多少資料。今天,關于主機、網絡、使用者和外部行動者的資訊是最常見的、納入分析的資料。然而,将情景資訊納入分析的價值則是真正無限的,并且讓擁有有趣的資料的使用者和希望提高自己産品效用的安全供應商擁有了新的機會。
總的來說,分析系統往往能夠實作更好地分析傾向,或者類似的中繼資料,資料存儲讓它們能夠快速、幾乎是實時地找出有趣的發現。這種方法的挑戰在于重大的安全事件,例如安全破壞并不會一次性全部發生。它們可能是一個早期名額,幾個小時之後出現一個小的事件,在幾天甚至幾個月之後才會出現資料洩露事件。當這三件事被視為是同一個事件,隻是碰巧在時間上跨越了——比如說三個月,那麼由幾個優先級較小的時間構成的整個事件的整體優先級就高得多了,這就是為什麼“回溯”是分析系統中一個關鍵概念的原因。
ahlm 先生表示,“最終,輸出大資料分析結果的真正的人類使用者界面将極大地決定了這項技術是否能夠得到采用或者被認為能夠在合理的時間範圍内産生有用的資訊。”他表示,“像其他已經使用了大資料分析尋找新事物或者産生新結果的領域一樣,資料的可視化将極大地影響這項技術的推廣。”
gartner的報告——《市場趨勢:安全分析——安全問題的新希望抑或隻是炒作?》——中提供了更多資訊。該報告可以在gartner的網站上擷取。
gartner security & risk management summits上将更多地探讨業務中斷攻擊,該峰會将于6月8日至11日在馬裡蘭州的national harbor,8月10日至11日在聖保羅;8月24日至25日在澳洲悉尼以及9月14日至15日在英國的倫敦召開。
作者:楊昀煦
來源:51cto