探索中国CIO人才现状 | 第四季调研报告
RSA智能驱动安全将超越SIEM
2013-01-21  作者:企业网 

  “这是使信息安全有趣发展的动力,”RSA首席技术专家SamCurry在最新的报告《大数据为智能驱动安全加油(BigDataFuelsIntelligence-DrivenSecurity)》中说,该报告为整合大数据分析到安全操作奠定了基础。按下RSA究竟是如何将继续这样的策略,Curry只确认更多的产品和服务即将到来。他强调:“我们正在以此为赌注。”


  RSA去年年底收购了Silvertail系统,后者是一家web分析和行为分析的公司,此举将被列入到RSA推进大数据安全的计划。


  RSA在其近日发表的一份报告中暗示,任何一家安全公司,如果现在还没有找到一种利用大数据的方法的,都有可能要倒闭。


  该报告指出,“在未来两年内,我们预测大数据分析将破坏现状,在大部分的信息安全产品领域,包括SIEM(securityinformationandeventmanagement,安全信息和事件管理),网络监控,用户身份验证和授权,身份管理,欺诈检测,和治理、风险与合规。”它接着说,三年之内,数据分析工具将发展到使一些“先进的预测能力和自动化的实时控制”成为可能。在理论上,这些将形成保护防止旨在窃取关键信息的欺诈和隐蔽的网络攻击的基础。


  今天,也有少数的安全公司,包括RedLambda和Palantir,已经创造工具和服务,包括过去经常服务于安全性目的的大规模数据分析。此外,互联网安全初创企业CrowdStrike,预计今年晚些时候将引入“大数据分析平台”。


  根据RSA的观点,大数据的利用于安全目的,必需实时收集大量的信息,建立用户和系统的配置文件,以“发现异常的活动或行为”,这“往往表明更深层次的问题。”


  大数据确实是宏伟的设想。“现在,伴随着计算能力,存储系统,数据库管理和分析框架的最新进展,没有太大或太快的数据集。信息,如完整的数据包捕获,外部威胁情报Feed,网站点击流,MicrosoftOutlook日历和社交媒体活动,都可用于与安全相关的分析。”


  RSA建议公司应当预见到大数据将推动设立基于安全考虑的集中库,“所有与安全相关的数据对安全分析师的查询是可用的,无论是作为一个统一的存储库,或者更可能的,作为一个数据存储的交叉索引系列。”


  Curry表示,大数据将是关于“在您的环境中的事件”,并且有超出安全数据(如防火墙或其他类型的安全设备提供的)的类型的需要。“它超越了安全数据,还包括系统的或Salesforce.com的或CRM(客户关系管理)的和其他应用程序的数据,”Curry说。他指出,HR系统能够提供雇员的信息,这将有助于判断是否有人试图利用个人身份(为自己谋利)。


  根据Curry的说法,所有这一切的含义是进化,超越现在被称为SIEM的。SIEM产品的设计,用于聚集和分析大量的安全性Feed。


  “SIEM只是库,大规模的库常常为合规而构建,”Curry表示,大数据安全在探测隐身攻击者方面可能会做的更好,并且它们在企业内部网络的“停留时间”,作为它们找出最关键的数据源的方式,并计划逐步摆脱它。今天“追捕”这种类型的攻击通常是失败的,但“我们认为这需要先进的数据技术赢取胜利,”Curry说。


  RSA提出了如下的六个指导方针,以帮助企业开始规划大数据驱动下的安全工具集和运营的转变,并作为他们智能驱动的信息安全计划的一部分。


  1.设定一个整体的网络安全战略;


  2.针对安全信息建立一个共享的数据体系结构;


  3.从单点产品迁移到统一的安全体系结构中;


  4.寻求开放和可扩展的大数据安全工具;


  5.加强SOC(安全运维中心)的数据科学技能;


  6.利用外部网络威胁情报。