實時大資料安全分析是一個新興的安全技術領域,能夠幫助企業實現快速偵測安全事件,但調查顯示,首席資訊保安官(CISO)認為目前基於實時大資料安全分析的事件偵測還未達到他們的期望值。2014年CISO們將會在實時大資料分析上投入更多,而相關廠商也需要針對企業反應的問題及時作出改進。
實時大資料安全分析,簡單來說就是通過對資料包、網路流量和後設資料的持續處理,查詢出那些可能屬於非法或可疑網路活動,從而實現安全事件的“事中”發現和響應。目前市場上有大量廠商,包括ISC8、21CT、Click Security、 Hexis Cyber Solutions、 IBM、Lancope、 Leidos、 LogRhythm、Netskope、RSA Security和 Solera Networks等公司能夠提供實時大資料安全分析方案。
實時大資料分析方案的重點是事件偵測,那麼首席資訊保安官們在這個領域都有哪些迫切需求呢?ESG研究機構的調查也許能給我們提供一些線索。ESG調查了規模超過千人的大企業中的257個安全專業人士,讓他們列舉他們所在的安全團隊在事件偵測方面面臨的挑戰,調查結果對了解大資料安全分析的使用者需求有所幫助:
- 39%的企業認為他們面臨的挑戰包括“安全運營和事件響應團隊缺乏足夠的人手。”這意味著實時大資料安全分析工具應當能提高現有人員的效率和生產力,克服人力資源的普遍短缺。
- 35%的企業認為挑戰來自“太多誤報”。這意味著實時大資料安全分析工具,需要通過流處理、高階智慧、演算法和視覺化分析等技術手段過濾噪聲、提高準確性。
- 29%的企業表示他們面臨的挑戰是“事件偵測依賴太多的獨立工具,而這些工具缺乏有效的整合。” 這意味著實時大資料安全分析方案應當克服端點工具過多的難題,提供高階功能和更高的整合度。
以上首席資訊保安官們反映的事件偵測產品實際使用中的問題應當成為實時大資料安全分析廠商們年前關注的重點,對於首席資訊保安官們來說,上述調查反映出的三大問題也可以例入考核事件偵測產品的評估列表。換而言之,就是要考察實時大資料安全分析工具能否提高事件偵測速度,能否提高人員效率,能否降低誤報率,自動化程度是否高,能否取代那一大堆端點工具。聰明的首席資訊保安官應當能據此制定一個指標體系來評估上述各方面短期和長期的改進效果。