RSA,EMC信息安全事业部发布了一份安全简报,断言大数据将会是整个安全行业发生重大转变的驱动因素,并将推动智能驱动的信息安全模型。大数据预期将给信息安全领域内的几乎每一个学科带来翻天覆地的变化。新的简报预计到2015年,大数据分析将有可能给信息安全领域包括SIEM(信息安全事件管理)、网络监控、用户身份认证和授权、身份管理、欺诈检测以及治理、风险及合规系统在内的大多数产品类别带来足以改变市场的变化。
简报的作者断言,大数据带来的变化已经开始。今年,领先的安全机构将部署已商业化、现成的大数据解决方案,以支持他们的安全运营。在此之前,部署在SOC(安全运维中心)内的先进数据分析工具都是定制的,但2013年标志着安全领域大数据技术商业化的开始,这是一种在未来几年内将重塑安全方法、解决方案和投入的趋势。
从长远来看,大数据还将改变诸如反恶意软件,数据丢失防护和防火墙等传统安全控制措施的性质。在三到五年内,数据分析工具将进一步发展,以实现各种先进的预测能力和自动化的实时控制。
现今极度延伸、基于云、移动性极强的商业世界,对于那些依赖于边界防御以及要求预定网络威胁知识的静态安全控制措施的流行安全实践来说已经不太适宜了。这就是为什么安全领袖们都会转向智能驱动的信息安全模型 —— 一种能够感知风险、基于上下文背景以及灵活的,并能帮助企业抵御未知高级网络威胁的模型。具有大数据能力的工具所支持的智能驱动的信息安全方法融合了动态的风险评估、巨量安全数据的分析、自适应的控制措施以及有关网络威胁和攻击技术的信息共享。
安全简报提出了六个指导方针,以帮助企业开始规划大数据驱动下的安全工具集和运营的转变,并作为他们智能驱动的信息安全计划的一部分。
1.设定一个整体的网络安全战略 —— 企业应当在针对其特定的风险、网络威胁和要求而定制的整体网络安全战略和程序下调整他们的安全能力。
2.针对安全信息建立一个共享的数据体系结构 —— 因为大数据分析要求信息能够从各种来源中、以多种不同的格式进行收集,建立一个使得所有的信息都能够被捕获、索引、标准化、分析和共享的单一体系结构是一个合乎逻辑的目标。
3.从单点产品迁移到统一的安全体系结构中 —— 企业需要对哪些安全产品在数年内还将继续支持和使用进行战略性的思考,因为每个产品都会引入其自己的数据结构,而它必须被整合到一个统一的分析框架中以实现安全性。
4.寻求开放和可扩展的大数据安全工具 —— 企业应当确保对安全产品的持续投资应有利于使用基于敏捷分析方法的技术,而不是基于网络威胁签名或网络边界的静态工具。新的、实现大数据的工具应当能够提供体系结构的灵活性,以顺应企业、IT或网络威胁环境的发展而做出改变。
5.加强SOC的数据科学技能 —— 尽管新出现的安全解决方案将会是具备大数据能力的,但安全团队却可能不会。数据分析是一个专职人才缺乏的领域。具有安全领域专业知识的数据科学家非常稀缺,对他们将会保持非常高的需求。其结果就是,许多企业有可能转向外部合作伙伴,以补充其内部安全分析能力。
6.利用外部网络威胁情报 —— 利用外部网络威胁情报服务增强内部安全分析程序,并对来自可信和相关来源的网络威胁数据进行评估。
根据安全简报作者的观点,将大数据集成至安全实践的结果将会极大地增强对IT环境的可视性,以及鉴别正常活动和可疑活动的能力,以帮助确保IT系统的可信性,并大大提高安全事件响应能力。