組織必須為收集、處理、分析和處理TB級的安全數據做好準備。

“情報是我們的第一道防線，我們必須提高收集和分析情報的能力。”-Saxby Chambliss

CISO們應該將這位前喬治亞州參議員的這句話內化，將其重點放在網絡安全的防御上面。換句話說，包括所有關于網絡安全策略、項目優先級、投資等的決定都應該根據實時數據和歷史數據來進行分析。什么類型的數據？EDR數據、網絡元數據、云日志、身份數據、威脅情報等。

這種數據爆炸的某些方面其實已經發生了。ESG的研究表明：

?75%的企業組織在收集、處理和分析比兩年前更多的安全數據。近三分之一（32%）的組織聲稱收集、處理和分析的數據比2018年“多得多”了。

?52%的組織在線保留安全數據的時間比過去更長了，另有28%的組織也希望在線保留安全數據，但由于成本或運營原因而無法保留。

?為了適應更長的數據保留期，83%的公司使用了離線或冷存儲。這有助于控制基礎設施成本，但會使追溯調查變得更加麻煩。

在2020年初，不斷增長的安全數據分析和操作要求已經是一個優先事項了。通過引入新的數據分析用例、流量模式、行為分析需求和盲點，COVID-19也變相增加了緊迫性。

一旦夏季結束，CISO們將啟動2021年的規劃進程。正如他們所做的那樣，即使是規模較小的企業也需要為安全數據收集、處理和分析需求的巨大飛躍做好準備。

以下是圍繞這一轉變的一些想法：

?CISO應該考慮一個統一的數據管理服務--一個存儲了所有安全數據的存儲庫，無論其來源、格式或類型如何。當他們從事這項工作時，他們應該與首席信息官一起討論，看看他們是否可以將安全和IT運營數據聚合到一個公共存儲桶中。

?在所有行業中，無論合規性的要求如何，安全數據的收集、處理和分析的下一次迭代都將在很大程度上依賴于基于云的資源。到2022年，大多數組織都將把所有的安全數據遷移到云端，或者依賴于混合架構，這些架構在基于云的基礎設施中將占很大比重。

?大規模新的安全分析浪潮也將需要云資源。

?目前，安全分析和操作工具往往側重于威脅的檢測和響應。需要尋找針對網絡風險管理的新一輪大數據分析創新——攻擊面管理、第三方風險管理和漏洞管理等依賴于動態數據收集和分析的活動。考慮一下用于網絡風險識別、優先級劃分和消減的實時CISO儀表板 。這一領域的工具有來自像AttackIQ、Bugcrowd、CyCognito、Randori等的公司。FireEye收購Verodin之后，無疑也看到了安全分析/運營和網絡風險管理的交集。

?安全分析需要巨大的和前所未有的規模。我們將看到安全托管服務提供商（AT&T、DeepWatch、Proficio等）的使用會急劇增加--即使是在最大的企業。那些單獨行動的人則可能需要來自ThetaPoint和其他公司專業服務的幫助。

?隨著組織轉向流式數據來進行實時分析，對安全數據管道專業知識的需求將會很高。由于很少會有安全組織雇用數據管理工程師，因此將需要有專業和托管服務提供商來彌補這一差距。

?我們將看到所有類型的安全運營和分析平臺架構（SOAPA）的長足發展——市場（如CrowdStrike和PAN）、合作伙伴關系（Google/Tanium、許多Splunk合作伙伴關系等），以及大量的并購活動。

?隨著安全數據向云端轉移，像亞馬遜、谷歌和微軟這樣的云服務提供商（CSP）將有著巨大的主場優勢。這也是為什么這三家公司的Amazon Detective、Google Chronicle和Microsoft Azure Sentinel一起進入安全分析和運營池的原因了。為了競爭，其他供應商（如Devo、Exabeam、LogRhym、Securonix等）必須在易用性、分析、流程自動化等方面勝過本地CSP。

?聯系我先前的觀點，高級分析是一個新興的戰場。這也將使Palantir、SAS等數據分析專家加入這場游戲。這也是為什么MicroFocus（ArcSight）收購了Interset，而SumoLogic收購了JASK的原因所在。

?ELK stack等開源軟件也將發揮作用，但大多數組織還都無法編寫開源工具，以跟上安全分析/運營需求的規模和動態性質。所以基于云的商業解決方案將占據這個市場。

?我還不清楚XDR的角色，但在不久的將來，它仍將是一項支持性技術計劃。

?這一趨勢的一個有趣方面是安全操作UI/UX的抽象和集中化。這里的一些例子是IBM用于安全和Splunk任務控制的Cloud Pak。

?最后，有些人認為這些變化會是對Splunk領導地位的真正威脅，但我不這么認為。是的，Splunk必須靈活應對新的競爭對手和商業模式，但Splunk確實已經占領了這個市場，并在進行相應的投資和調整。

未來還有很多變化，讓我們拭目以待。
責任編輯：tzh