2017RSA大會:安全分析和操作
到目前為止,關(guān)于對下周RSA安全會議的期望以及安全的前景成為了網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。
眾多業(yè)界人士也相信許多獨(dú)立技術(shù)將被集成到ESG稱為SOAPA(即安全操作和分析平臺架構(gòu))的全面架構(gòu)中,考慮到SOAPA,期望在RSA看到一下幾點(diǎn):
1.網(wǎng)絡(luò)安全伴隨左右。 網(wǎng)絡(luò)安全分析和操作過去基于幾個(gè)主要數(shù)據(jù)源:日志文件和事件。應(yīng)用程序,數(shù)據(jù)庫,網(wǎng)絡(luò),安全和系統(tǒng)日志,現(xiàn)在由大量其他數(shù)據(jù)源來填補(bǔ)了, 例如,端點(diǎn)和網(wǎng)絡(luò)行為數(shù)據(jù),威脅情報(bào)數(shù)據(jù),惡意軟件分析,社交網(wǎng)絡(luò)數(shù)據(jù)等補(bǔ)充。
事實(shí)上,預(yù)計(jì)安全分析和操作架構(gòu)的一個(gè)原因是純粹的目前的一個(gè)需求,在處理和分析安全數(shù)據(jù)的大量增長,和目前許多數(shù)據(jù)將保持分布式,但是安全分析和操作工具必須具有所有的可見性,知識和決策能力。這意味著SOAPA將是一個(gè)具有高度分布式數(shù)據(jù)管理基礎(chǔ)架構(gòu)的事件驅(qū)動(dòng)軟件架構(gòu)(SOA 2.0)。希望聽到供應(yīng)商對這種類型的架構(gòu)的想法和計(jì)劃。
2.SIEM一直都在。已經(jīng)聽到“SIEM已死的消息”已經(jīng)很久了,但還是有人買它。想說的更像是SIEM正在發(fā)展。例如,AlienVault是一個(gè)完整的操作和分析平臺。IBM已使用AppExchange和Resilient擴(kuò)展了QRadar事件響應(yīng)。LogRhythm添加了自己的主機(jī)代理和網(wǎng)絡(luò)安全分析,Splunk抓住了Caspida的UBA,并在自適應(yīng)響應(yīng)方面做了很大努力。
雖然這些供應(yīng)商尋求擴(kuò)大其范圍,但是真正發(fā)生的是,SIEM功能正在擴(kuò)展成一系列互連的功能,模塊和服務(wù)。換句話說,一個(gè)軟件架構(gòu)。所有領(lǐng)先的SIEM供應(yīng)商都需要確保他們的產(chǎn)品是為開放和集成而開發(fā)的,同時(shí)推動(dòng)創(chuàng)新和并購活動(dòng),因?yàn)樗麄冊噲D保留SOAPA集線器,為合作伙伴提供大量連接選項(xiàng)。
3.威脅慢慢成熟。威脅情報(bào)是RSA一直以來的比較擔(dān)心的事情,但重點(diǎn)是圍繞信息,而不是如何實(shí)際使用和受益于威脅情報(bào)分析。在2017年期待聽到解決威脅情報(bào)人群以及正在致力于幫助組織解決新類型的業(yè)務(wù)風(fēng)險(xiǎn)以及純網(wǎng)絡(luò)安全學(xué)科,如滲透測試,“狩獵”,事件響應(yīng)等。
4.安全事件持續(xù)不斷。談到IR,事件響應(yīng)自動(dòng)化和編排的趨勢在過去12個(gè)月中獲得了巨大的發(fā)展勢頭。此外,大多數(shù)企業(yè)組織現(xiàn)在愿意放棄自己開發(fā)的軟件,贊成來自類似FireEye,Hexadite,IBM(Resilient),Phantom,ServiceNow和Siemplify的商業(yè)工具。想了解更多關(guān)于IR自動(dòng)化和編排如何成熟。重點(diǎn)是自動(dòng)化還是編排?組織在哪里開始這個(gè)過程?他們?nèi)绾芜M(jìn)行?
5.機(jī)器學(xué)習(xí)夸張。預(yù)測,人工智能和機(jī)器學(xué)習(xí)將是今年的RSA行業(yè)最夸張的獲獎(jiǎng)?wù)摺C總€(gè)人都會談?wù)撍珱]有人會澄清它,使網(wǎng)絡(luò)安全專業(yè)人員了解它的作用和它適合的地方。
根據(jù)多數(shù)業(yè)界人士的拙見,機(jī)器學(xué)習(xí)應(yīng)該被視為(今天)一個(gè)智能的防御層,可以自動(dòng)化和加速某些類型的特定分析活動(dòng)。換句話說,機(jī)器學(xué)習(xí)今天有點(diǎn)有限,但這并不意味著它不能在適當(dāng)?shù)陌咐l(fā)揮作用。哪些用例?需要在今年的RSA中行進(jìn)探索與供應(yīng)商。
6.服務(wù)短缺。根據(jù)ESG的研究,45%的組織在2017年有一個(gè)“有問題的網(wǎng)絡(luò)安全技能短缺”。這意味著幾乎一半的組織可能沒有網(wǎng)絡(luò)安全人員或人才庫來管理自己的安全分析和操作。哪些服務(wù)供應(yīng)商填補(bǔ)這個(gè)空白?這是大家希望在RSA研究中有具體探討研究的話題。我們知道BT,CSC,CrowdStrike,F(xiàn)ireEye,Unisys,SecureWorks和賽門鐵克等公司在服務(wù)領(lǐng)域表現(xiàn)良好,但我們希望進(jìn)一步了解這些和其他網(wǎng)絡(luò)安全供應(yīng)商如何幫助組織解決安全分析和操作的各個(gè)方面的要求。
