当安全专家试图调查阻碍企业完善其安全分析程序的绊脚石时,他们发现企业的抱怨似乎有些自相矛盾。一方面,企业表示他们有太多的安全数据,太多类型的数据,这让他们很难在短时间内对数据进行筛选和分析。另一方面,他们又说,手头上没有足够的数据来作出安全决策。
那么,该怎么办呢?据一些专家称,这种矛盾可能是因为通过传统工具(例如日志管理和安全信息及事件管理)收集安全信息和综合分析的旧模式存在问题。Voodoo Security公司首席顾问兼SANS分析师Dave Shackleford表示,“我记得以前我们作为安全人员时,我们必须走出去,专门要求更多的数据,现在,我们有了非常多的数据,我们有很多类型的数据,并且有各种各样的格式,并不是所有这些数据都能够与你的SIEM平台兼容。”
就在最近,SANS发布了其安全分析调查,调查发现,在过去的几年中,企业在很大程度上依赖于日志管理和安全信息及事件管理平台,这些平台无法处理丢给它们的海量数据。与此同时,当该调查询问受访者,在发现和跟进攻击的过程中面临的最大挑战是什么时,他们称最大的问题是他们得到的安全数据与他们需要的安全数据间存在差距。
Shackleford表示,企业还表示他们缺乏系统或者漏洞意识,以及围绕数据的内容来观察正常数据。他谈到,“我们并没有得到正确的数据。因此,我们仍然觉得缺少关键数据集,即使我们有海量数据,如果没有这些,我们将很难了解基础设施内真正在发生的事情,这正是分析平台试图解决的问题。”
之所以企业发现他们面对太多数据,而没有足够数据,这是因为他们是在本末倒置的过程中收集信息。Bay Dynamics公司首席技术官Ryan Stolte表示:“坏的假设是,我们应该从数据开始,并集中力量汇集数据,存储在相同的位置。当你获得所有的数据时,你会希望从中获得洞察力,这是一个漫长的昂贵的过程,也是一种本末倒置的方法。”
相反地,企业应该首先询问企业和安全问题,然后寻找能够解答这些问题的数据。
他表示,“在开始获取数据之前,你需要知道你正在试图解决的问题,人们花了大量的钱来整合数据,但却从来没有计划他们要对数据做什么。”同时,Stolte表示企业很难对数据采取行动,即使是正确的信息,他们过多地依赖于SIEM。
他表示:“这是一个常见的错误,即试图通过SIEM聚合一切事物。但这样做只能给你提供一个视角,通常会得到海量的信息,而且是不可操作的。”
根据Shackleford表示,SANS已经看到有些企业试图超越SIEM范围外来分析数据,将数据转移到更强大的分析技术和平台。
他说道,同时只有10%的企业对其智能和分析能力有信心,“我们确实看到这样的趋势,并且市场已经对此有所准备,人们对整合分析技术和智能技术来处理大型数据集有着很大的需求,大多数人仍然在使用传统技术,仍然使用日志管理和SIEM平台来处理数据。我认为,现在的分析技术仍然处于起步阶段,还有很大的进步空间。”
