预期将给领域内的几乎每一个学科带来翻天覆地的变化。新的简报预计到2015年,大数据分析将有可能给信息安全领域包括SIEM(信息安全事件管理)、网络监控、用户身份认证和授权、身份管理、欺诈检测以及治理、风险及合规系统在内的大多数产品类别带来足以改变市场的变化。
简报的作者断言,大数据带来的变化已经开始。今年,领先的安全机构将部署已商业化、现成的大数据解决,以支持他们的安全运营。在此之前,部署在SOC(安全运维中心)内的先进数据分析工具都是定制的,但2013年标志着安全领域大数据技术商业化的开始,这是一种在未来几年内将重塑安全方法、解决方案和投入的趋势。
从长远来看,大数据还将改变诸如反恶意软件,数据丢失防护和等传统安全控制措施的性质。在三到五年内,数据分析工具将进一步发展,以实现各种先进的预测能力和的实时控制。
现今极度延伸、基于云、移动性极强的商业世界,对于那些依赖于边界防御以及要求预定网络威胁知识的静态安全控制措施的流行安全实践来说已经不太适宜了。这就是为什么安全领袖们都会转向智能驱动的信息安全模型 —— 一种能够感知风险、基于上下文背景以及灵活的,并能帮助抵御未知高级网络威胁的模型。具有大数据能力的工具所支持的智能驱动的信息安全方法融合了动态的风险评估、巨量安全数据的分析、自适应的控制措施以及有关网络威胁和攻击技术的信息共享。
安全简报提出了六个指导方针,以帮助企业开始规划大下的安全工具集和运营的转变,并作为他们智能驱动的信息安全计划的一部分。
1.设定一个整体的网络安全战略 —— 企业应当在针对其特定的风险、网络威胁和要求而定制的整体网络安全战略和程序下调整他们的安全能力。
2.针对安全信息建立一个共享的数据体系结构 —— 因为大数据分析要求信息能够从各种来源中、以多种不同的格式进行收集,建立一个使得所有的信息都能够被捕获、索引、标准化、分析和共享的单一体系结构是一个合乎逻辑的目标。
3.从单点产品迁移到统一的安全体系结构中 —— 企业需要对哪些安全产品在数年内还将继续支持和使用进行战略性的思考,因为每个产品都会引入其自己的数据结构,而它必须被整合到一个统一的分析框架中以实现安全性。
4.寻求开放和可扩展的大数据安全工具 —— 企业应当确保对安全产品的持续投资应有利于使用基于敏捷分析方法的技术,而不是基于网络威胁签名或网络边界的静态工具。新的、实现大数据的工具应当能够提供体系结构的灵活性,以顺应企业、IT或网络威胁环境的发展而做出改变。
5.加强SOC的数据科学技能 —— 尽管新出现的安全解决方案将会是具备大数据能力的,但安全团队却可能不会。数据分析是一个专职人才缺乏的领域。具有安全领域专业知识的数据科学家非常稀缺,对他们将会保持非常高的需求。其结果就是,许多企业有可能转向外部合作伙伴,以补充其内部安全分析能力。
6.利用外部网络威胁情报 —— 利用外部网络威胁情报服务增强内部安全分析程序,并对来自可信和相关来源的网络威胁数据进行评估。
根据安全简报作者的观点,将大数据集成至安全实践的结果将会极大地增强对IT环境的可视性,以及鉴别正常活动和可疑活动的能力,以帮助确保IT系统的可信性,并大大提高安全事件响应能力。
高管引述:
William H. Stewart,博思艾伦汉密尔顿咨询公司 高级副总裁
“游正在发生改变。越来越多的数据以自动化的形式进入,并且其载体还将继续。因此,在两三年前非常好用的安全分析工具现在不那么好用了。现在,您必须查看更多的数据,而且您必须寻找更为细微的网络威胁。商业工具正在发生改变,以充分利用这些流向网上的大数据流。”
Eddie Schwartz,RSA,信息安全事业部 首席信息安全官
“在未来的一年内,具有渐进式安全能力的顶级企业将会在大数据分析的基础上采用智能驱动的信息安全模型。而在接下来的两到三年内,这种安全模型将成为一种生活方式。”
Sam Curry,RSA,EMC信息安全事业部 首席专家、身份与数据保护首席技术官
“大数据正在不断改变着性质,并且在不断突破诸如基于签名的防恶意软件和防火墙,以及基于规则的身份和访问管理工具等传统安全控制措施的限制。大数据正在以新的方式进行应用,以实现自适应的、基于风险的和自我学习的安全控制措施,使得能够对安全措施进行连续不断的评估,并且能够根据不断变化的环境和风险条件,自动调整保护级别。随着用户身份和复杂的数据流汇集一起,并对它们提供更为丰富的可视性,网络威胁和欺诈的发现与响应因此可以变得更具预测性,从而为反映正常和异常的行为提供了数据驱动的。”