巨頭獨善其身 普通公司無奈掙扎?企業安全需要開放式的資料解決方案
如果不止是少數幾家企業才能獲取當今大資料中隱藏的所有信號,會是怎樣的一個世界?
90年代網路安全領域剛剛興起的時候,網路安全人員手工檢查分析每一臺電腦,類似於手工業匠人。近30年一晃而過,與大多數其他領域一樣,網路安全如今也受到大資料的驅動。惡意軟體檢測、網路風險管理、事件調查與響應、各類網路安全用例等等,都要依靠對海量安全相關元資料的收集與分析。
網路安全供應商是第一批意識到這一點的人,大約在10年前,防毒軟體供應商便從人工分析切換到了從客戶裝置與網路收集大量機器遙測資料並分析上。少數大企業迅速跟進,不僅僅收集傳統安全警報(殺軟、防火牆、入侵檢測系統),還收集其他型別的資料,比如DNS記錄、Web代理和身份驗證日誌、NetFlow記錄,以及終端檢測與響應日誌。
這些早期採納者認識到,雖然體量巨大且儲存和處理成本高昂,這些次級資料饋送卻是根除潛在攻擊不可或缺的東西。其中一些企業將這些資料匯入Palantir之類的複雜圖表分析解決方案。但最頂級的企業打造自己的專利大資料資源,開始歸檔這些資料饋送,高薪僱傭一大批資料科學家來梳理資料,讓資料變得有價值。
但能這麼做的都是大公司大企業,普通公司企業也就能收集點傳統安全警報(包括防毒軟體、資料防洩露和防火牆警報)。其他源產生的海量(高價值)元資料的儲存、備份和處理成本是大部分公司企業負擔不起的。因為無力構建並維護自己的資料資源池,也聘不起資料科學家來網羅資料,普通公司企業只能盡力將所能收集到的資料饋送至現成的SIEM系統或Splunk,併為節省成本而設定資料儲存期限僅為幾個月,日誌搜尋和警報聚合用例也只能採用簡單的那些。這些公司甚至都不敢考慮收集、儲存或處理其他更有用的訊號。這就好像一家銀行沒有任何視訊監控,想僅靠警報聲和被打碎的玻璃來拼湊出劫案原貌一樣荒謬。
但是,目前的網路安全世界就是這樣的。巨頭獨善其身,普通公司無奈掙扎。
另一條路
不妨展望另一種不同的未來。想象一下,如果公司企業能以合理的開銷從自身環境中收集、儲存、索引和分析所有網路安全相關資料,情況會是怎樣?不僅僅是警報,而是來自公司裝置、網路和雲系統的全部安全相關的遙測資訊。也不僅僅是幾個星期或幾個月的資料,而是可能數年之久的歷史資料。
更進一步,想象一下,如果這些資料能以組織良好的標準格式加密儲存在企業控制下的資料保險櫃裡,又是怎生一幅場景?這將不僅僅能驅動內部安全團隊大量全面分析各種各樣的網路安全用例,還能驅動服務提供商在資料擁有者授權之下提供額外的服務,從這些資料中匯出新的洞見。這麼做可以解鎖資料的價值,對整個提供商生態系統開放,令普通企業也能大幅提升其安全態勢。
高度敏感資料以往都是各自維護的其他行業和領域也適用這一開放模式。比如說,開放型政府夥伴關係就在推動使用公開記錄供公民獲取對所收集資料方面有更多的洞見。作為開放銀行運動的一部分,各家銀行也在解鎖客戶資料,讓客戶能更好地運用他們的資訊。醫療保健領域,保健組織(HMO)利用醫藥、患者行為及療效資料,來構建跨資料來源的診斷以改進病患護理。
如果不止是少數幾家企業能獲取當今大資料中隱藏的所有訊號,情況會是怎樣?廣大公司企業或許就能:
- 通過自動化威脅追捕檢測自身環境中埋藏的潛在攻擊。
- 持續評估及優化企業網路安全健康。
- 以全面的鑑證資料展開攻擊調查。
- 快速獲悉攻擊者的入侵方式及其染指的系統和資料有哪些。
- 更恰當地排序安全事件並加以自動修復。
- 衡量供應商及合作伙伴帶來的風險。
- 適用於其他數十種用例。
頂級企業可能會自行構築解決方案,但其他普通公司可以依賴可信服務提供商來分析資料饋送,並應用自有方法解決這些用例。一個喧囂的分析市場即將興起,相互競爭的公司企業將提供可充分釋放客戶資料潛力的各種產品。
公司企業坐擁各類情報,可更好地保護自身免遭網路攻擊和其他威脅的侵害——只需好好利用這些情報將資料轉化為有效防禦即可。其他行業逐漸看到開放資料的好處,而在可預見的未來,安全團隊也將有所體會。不開放的代價會相當巨大。