现在是安全部队接受安全数据湖泊的时候了

2021-06-05 04:58:29

Dan Schoenbaum是一个双重首席执行官和一个网络安全的双重合唱团。今天,他是高潮顾问的管理合作伙伴,一家精品咨询公司帮助公司通过上市战略和执行取得更大的成功。

以下是安全操作的快速复述以及我们今天的位置:十年前,我们通过监视我们网络环境中发生的每个活动的日志 - 数字记录来保护我们的应用程序和网站,从登录到电子邮件到配置变化。日志被审核,提高了标志,调查了可疑活动,并为合规目的储存了数据。

由于恶意行为者和对手变得更加活跃,以及他们的策略,技术和程序(或TTP,安全解释)增长更复杂,简单的日志记录演变为称为“安全信息和事件管理”(SIEM)的方法,涉及使用软件提供应用程序和网络硬件生成的安全警报的实时分析。 SIEM软件使用规则驱动的相关性和分析,将原始事件数据转化为潜在的有价值的智能。

虽然它没有魔法子弹(实现并使一切正常具有挑战性),但能够找到所谓的“干草堆中的针头”并识别正在进行的攻击是一个巨大的前进。

如今,暹粒仍然存在,市场主要由Splunk和IBM QRadar领导。当然,该技术的提高了,因为新用例不断地出现。许多公司终于搬进了云本机部署,并利用机器学习和复杂的行为分析。然而,新的企业暹粒部署较少,成本更大,最重要的是 - CISO和SOC中的勤奋团队的总体需求发生了变化。

首先,数据已爆炸,暹粒太狭窄。仅仅是安全事件的收集不再足够,因为此数据集上的光圈太窄。虽然可能会从您的活动中捕获和处理大量的事件数据,但您缺少大量附加信息,例如索因(开源智能信息),消耗品外部威胁源和有价值的信息恶意软件和知识产权声名数据库,以及来自暗网络活动的报告。对于暹粒的日期建筑,有无穷无尽的情报来源。

此外,数据与成本一起爆炸。数据爆炸+硬件+许可成本=螺旋总体拥有成本。通过如此多的基础架构,物理和虚拟,被捕获的信息量都已爆炸。机器生成的数据已在50倍上生长,而平均安全预算同比增长14%。

存储所有这些信息的成本使SIEM成本禁止。 暹粒的平均成本飙升到每年达到100万美元,仅适用于许可证和硬件成本。 经济学强制团队在SOC中捕获和/或保留更少的信息,以试图保持支票成本。 这导致暹粒的有效性变得进一步减少。 我最近与一个想要查询欺诈证据的大型数据集的SoC团队发表讲话,但在Splunk这样做是经济高昂的,艰巨,艰巨的流程,导致团队探索替代品。 今天暹粒方法的缺点是危险和可怕的。 Ponemon Institute最近的一项调查调查了近600个IT安全领袖,发现,尽管平均每年支出1840万美元,但使用平均47份产品,IT安全领导者的呼啸不良“不知道他们的产品是否甚至不知道 在职的。” 显然是改变的时间。