Gartner表示,尽管机构投入在安全方面的经费非常高,达到了空前的水平,大企业的安全方面的风险也达到了空前高涨的水平。各种先进的攻击带来的影响已经引起了企业董事会层面的关注,对于安全问题的高度重视让很多企业拥有了更多的资金,让他们能够在抵御这类攻击的时候能够有更多胜算。
Gartner 的研究总监Eric Ahlm表示,“安全隐患检测是安全买家最关心的事,这个领域的技术宣称能够在空前的噪音背景下发现或者探测出先进的攻击。”他表示,“安全分析平台让用户能够感知到安全事件的发生,这些平台收集并分析一整套更为广泛的数据,这样对组织伤害最大的安全隐患就会优先被探测,并且具有更高的准确度。”
将大量的能够分析的安全数据收集起来对于安全事件、安全信息和事件管理(SIEM)技术以及可能的解决方案来说具有非常重大的意义。虽然绝大多数SIEM产品都具有收集、存储和分析安全数据的能力,这意味着可以从数据存储中抽取出来(例如在SIEM中可以找到安全数据)取决于数据的检查方式。SIEM完成自动分析——相比于用户的查询和规则——的能力的高低将成为区分SIEM供应商水平高下的主要指标。
用户行为分析(UBA)是另一个已经吸引了买家注意的安全分析的例子。UBA可以分析用户的行为,这和检测用户信用卡防止盗窃的欺诈检测系统异曲同工。UBA系统在探测有意义的安全事件方面也非常有效,例如有危险的用户账户和心怀不轨的内部人。不过很多UBA系统能够分析的可不仅仅是用户信息,它们还能够分析例如设备和地理位置等信息,而且还可以强化分析功能,以便分析更多的数据点,提高安全隐患探测的准确性。
Ahlm先生表示,“今天,有很多可行的商业分析应用工具能够更好地定位安全技术,例如SIEM和UBA供应商。”他表示,“但是,这些应用或者其他的问题也可能被安全市场的其他新兴版块覆盖,安全行业的分析应用还非常不成熟。”
随着安全分析平台逐渐成熟,准确性不断提高,其创新推动因素就变成了分析可以使用多少数据。今天,关于主机、网络、用户和外部行动者的信息是最常见的、纳入分析的数据。然而,将情景信息纳入分析的价值则是真正无限的,并且让拥有有趣的数据的用户和希望提高自己产品效用的安全供应商拥有了新的机会。
总的来说,分析系统往往能够实现更好地分析倾向,或者类似的元数据,数据存储让它们能够快速、几乎是实时地找出有趣的发现。这种方法的挑战在于重大的安全事件,例如安全破坏并不会一次性全部发生。它们可能是一个早期指标,几个小时之后出现一个小的事件,在几天甚至几个月之后才会出现数据泄露事件。当这三件事被视为是同一个事件,只是碰巧在时间上跨越了——比如说三个月,那么由几个优先级较小的时间构成的整个事件的整体优先级就高得多了,这就是为什么“回溯”是分析系统中一个关键概念的原因。
Ahlm 先生表示,“最终,输出大数据分析结果的真正的人类用户界面将极大地决定了这项技术是否能够得到采用或者被认为能够在合理的时间范围内产生有用的信息。”他表示,“像其他已经使用了大数据分析寻找新事物或者产生新结果的领域一样,数据的可视化将极大地影响这项技术的推广。”
Gartner的报告——《市场趋势:安全分析——安全问题的新希望抑或只是炒作?》——中提供了更多信息。该报告可以在Gartner的网站上获取。
Gartner Security & Risk Management Summits上将更多地探讨业务中断攻击,该峰会将于6月8日至11日在马里兰州的National Harbor,8月10日至11日在圣保罗;8月24日至25日在澳大利亚悉尼以及9月14日至15日在英国的伦敦召开。