2013年RSA信息安全大会的主题是“Mastering data. Securing the world”(掌控数据,保护世界),自此数据分析开始被安全行业所重视。在国内随着大数据、机器学习等技术的发展,以及国家对网络安全态势感知的政策要求,大数据安全分析广泛地被应用在SOC/SIEM、态势感知以及下一代安全产品与解决方案中。
大数据安全分析的好处是显而易见的,一方面是能够对已知威胁进行精准定位,解决传统单点设备误报率过高的问题,将有价值的安全告警从海量噪声中数据中提炼出来;另外一方面是能够对高级威胁进行深度检测,这里所谓的「高级威胁」可以理解为传统安全设备无法检测的威胁,包括未知威胁和潜在威胁两种。
只有能够对已知威胁进行精准定位、对未知威胁进行深度检测,并在此基础上不断地丰富安全事件场景、提高安全运营决策辅助能力,才能为安全监测、通报预警、应急处置、态势感知提供一个坚实的基础,也只有这样才能将安全监控、安全运维、安全审计打通成为一个整体的安全运营中心。
大数据安全分析与风险管理中的KRI风险监测类似,即通过量化的数据进行跟踪测量,反应安全状况、预测风险趋势、识别风险征兆。将安全由定性向定量转变、由事后向事前转变、由孤立向联系转变。从而摆脱安全被动防护困境,做到真正的主动安全防御。
理论上来讲,大数据安全分析应该像星际战舰一样,一切都应该是数字化、指标化的,战舰的一切行动都可以依据自身数据状态来进行决策。然而很遗憾目前没有哪家机构能做到这一步,目前来讲应该可以理解为是一辆汽车的各种仪表盘,有很重要的参考意义,但是还需要结合路况环境来综合进行决策。
现实与理想之所以有这样的差距,主要是技术发展还需要很长一段时间过程,「数据驱动安全」才只是刚刚开始,需要持久的资源投入与长期精益求精的坚持。目前需要解决的问题短板包括以下几个方面:
首先,数据类型还不够全。数据类型不够全的原因,或是资产、漏洞、配置、威胁、事件、流量、情报等没有全部接入,没有全部接入当然数据源就是不全的;或是很多高级别的单点防护设备(如EDR、DLP、蜜罐等)没有建设,没有防护设备那自然不会有这部分的安全数据。
其次,数据质量还不够高。数据质量不够高的原因,或是资产、漏洞等数据颗粒度太粗、关联度不够,比如资产无法识别到组件,资产版本无法与漏洞信息关联等;或是威胁、事件、情报数据存在大量的噪声,数据的精准度无法控制在可接受范围之内。
最后,安全分析还不够深入。以目前市场上现有的产品和解决方案来看,能够将资产、用户、情报,漏洞、配置、威胁,日志、流量、告警各要素有效整合的目前还没有。同时,关联分析、机器学习在安全检测、威胁追踪等的应用还有很大的改善空间,还无法改变依赖经验丰富的安全分析人员的现状。
总体来看,大数据安全分析目前还处于起步阶段,未来有很大的技术与业务增长空间,这也是为什么不管是安全大厂还是创业公司都投入这个领域的原因。未来谁能把以上瓶颈问题解决,真正帮助客户将线下安全工作整合到线上安全运营,谁就能够笑到最后。
让我们拭目以待吧!