如果不止是少数几家企业才能获取当今大数据中隐藏的所有信号,会是怎样的一个世界?

90年代网络安全领域刚刚兴起的时候,网络安全人员手工检查分析每一台电脑,类似于手工业匠人。近30年一晃而过,与大多数其他领域一样,网络安全如今也受到大数据的驱动。恶意软件检测、网络风险管理、事件调查与响应、各类网络安全用例等等,都要依靠对海量安全相关元数据的收集与分析。

网络安全供应商是第一批意识到这一点的人,大约在10年前,杀毒软件供应商便从人工分析切换到了从客户设备与网络收集大量机器遥测数据并分析上。少数大企业迅速跟进,不仅仅收集传统安全警报(杀软、防火墙、入侵检测系统),还收集其他类型的数据,比如DNS记录、Web代理和身份验证日志、NetFlow记录,以及终端检测与响应日志。

这些早期采纳者认识到,虽然体量巨大且存储和处理成本高昂,这些次级数据馈送却是根除潜在攻击不可或缺的东西。其中一些企业将这些数据导入Palantir之类的复杂图表分析解决方案。但最顶级的企业打造自己的专利大数据资源,开始归档这些数据馈送,高薪雇佣一大批数据科学家来梳理数据,让数据变得有价值。

但能这么做的都是大公司大企业,普通公司企业也就能收集点传统安全警报(包括杀毒软件、数据防泄露和防火墙警报)。其他源产生的海量(高价值)元数据的存储、备份和处理成本是大部分公司企业负担不起的。因为无力构建并维护自己的数据资源池,也聘不起数据科学家来网罗数据,普通公司企业只能尽力将所能收集到的数据馈送至现成的SIEM系统或Splunk,并为节省成本而设置数据保存期限仅为几个月,日志搜索和警报聚合用例也只能采用简单的那些。这些公司甚至都不敢考虑收集、存储或处理其他更有用的信号。这就好像一家银行没有任何视频监控,想仅靠警报声和被打碎的玻璃来拼凑出劫案原貌一样荒谬。

但是,目前的网络安全世界就是这样的。巨头独善其身,普通公司无奈挣扎。

另一条路

不妨展望另一种不同的未来。想象一下,如果公司企业能以合理的开销从自身环境中收集、存储、索引和分析所有网络安全相关数据,情况会是怎样?不仅仅是警报,而是来自公司设备、网络和云系统的全部安全相关的遥测信息。也不仅仅是几个星期或几个月的数据,而是可能数年之久的历史数据。

更进一步,想象一下,如果这些数据能以组织良好的标准格式加密存储在企业控制下的数据保险柜里,又是怎生一幅场景?这将不仅仅能驱动内部安全团队大量全面分析各种各样的网络安全用例,还能驱动服务提供商在数据拥有者授权之下提供额外的服务,从这些数据中导出新的洞见。这么做可以解锁数据的价值,对整个提供商生态系统开放,令普通企业也能大幅提升其安全态势。

高度敏感数据以往都是各自维护的其他行业和领域也适用这一开放模式。比如说,开放型政府伙伴关系就在推动使用公开记录供公民获取对所收集数据方面有更多的洞见。作为开放银行运动的一部分,各家银行也在解锁客户数据,让客户能更好地运用他们的信息。医疗保健领域,保健组织(HMO)利用医药、患者行为及疗效数据,来构建跨数据源的诊断以改进病患护理。

如果不止是少数几家企业能获取当今大数据中隐藏的所有信号,情况会是怎样?广大公司企业或许就能:

  • 通过自动化威胁追捕检测自身环境中埋藏的潜在攻击。

  • 持续评估及优化企业网络安全健康。

  • 以全面的鉴证数据展开攻击调查。

  • 快速获悉攻击者的入侵方式及其染指的系统和数据有哪些。

  • 更恰当地排序安全事件并加以自动修复。

  • 衡量供应商及合作伙伴带来的风险。

  • 适用于其他数十种用例。

顶级企业可能会自行构筑解决方案,但其他普通公司可以依赖可信服务提供商来分析数据馈送,并应用自有方法解决这些用例。一个喧嚣的分析市场即将兴起,相互竞争的公司企业将提供可充分释放客户数据潜力的各种产品。

公司企业坐拥各类情报,可更好地保护自身免遭网络攻击和其他威胁的侵害——只需好好利用这些情报将数据转化为有效防御即可。其他行业逐渐看到开放数据的好处,而在可预见的未来,安全团队也将有所体会。不开放的代价会相当巨大

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。