随着网络世界不断发展,安全威胁也日趋复杂,安全分析在保护企业安全方面发挥着越来越重要的作用。通过软件、算法和分析流程的结合,安全分析可帮助 IT 和安全团队主动或被动地检测风险,以防因威胁导致的数据泄露或者其他更严重的损失。
2021年数据泄露发现和防范的平均时间长达 287 天,由此可见,企业将安全分析纳入其威胁检测和响应计划在当下可谓迫在眉睫。
在过去十年中,安全分析这项技术发生了怎样的变化?本文将和大家一起探讨安全分析的演变和价值。
两大演变趋势:日益复杂化和产品定制化
首先,安全分析正变得越来越复杂。在过去的十年里,该领域已经从基于规则的警报转变为大数据和机器学习分析。其次,产品变得更加开源和可定制。
随着这些技术的进步,它们特殊的应用场景也在进步。企业将这项技术用于身份分析(检查身份验证、授权和异常访问)、欺诈(发现异常交易)等场景。
如今,安全分析在安全信息和事件管理 ( SIEM ) 解决方案以及网络检测和响应产品中发挥着核心作用,更不用说独立的安全分析软件了。
为了更好地了解安全分析解决方案的演变和功能变化,我们需要深入地了解安全分析的三代变化。
第一代:规则化致“警报疲劳”
传统的安全分析侧重于特定平台内的关联和规则。
用户将数据导入到一个封闭的数据库中,利用数据标准化后通过关联引擎运行,然后系统根据规则产生警报。通常来说,产品的警报信息很丰富,它可以提供更有用的上下文并发出警报,例如将其链接到特定用户、主机或 IP 地址。
然而,这个时代经常遭受“警报疲劳”,分析解决方案发出警报后,安全团队往往难以深入调查,而且在这个过程中还包括大量误报。
因此,警报的风险排序很重要,筛选出哪些警报是无需大量的人工劳力的。此外,这些解决方案通常是完全独有的,几乎没有定制选项。安全团队无法通过调整规则来减少误报数量,这也是导致他们困于“警报疲劳”的原因之一。
第二代:误报不断,资源有限
第二代安全分析开始结合大数据和统计分析,但是对用户而言,它仍然是一个黑匣子。
和第一代不同的是,这些解决方案提供了数据湖而不是数据库,因此可以收集和分析更多种类的数据,但这个数据湖仍然是专有的。一旦出现了新的分析功能,例如包含云数据、网络数据包和流数据的能力,用户仍然无法看到它们的运作过程或结果验证。
第二代有更强的数据丰富性,但在很大程度上,用户还是无法通过警报自定义他们想要的上下文数据。例如,安全团队可能想要添加资产重要性数据,以便他们可以优先处理影响其基础架构关键部分的事件或包含来自 VirusTotal 等外部来源的信息。
许多解决方案也开始提供威胁搜寻功能,安全团队更容易利用这一功能主动搜索逃避外部安全控制的可疑活动。
然而,对于安全团队来说,误报和有限的带宽仍然是一个重大挑战。事实上,时至今日,这仍然是一个挑战。根据 Cybersecurity Insiders 的 2021 年内部威胁报告,33% 的受访者表示,最大化企业SIEM价值的最大障碍是没有足够的资源,而20% 的受访者认为是产品误报过多。
第三代:定制化趋势已成
我们当前正经历着第三代安全分析技术演变,机器学习、行为分析和定制化正在推动着技术创新。
现在的一些SIEM产品允许企业使用他们自己现有的数据湖,而不是强迫使用官方的特定数据湖。一些解决方案已经开放了他们的分析、扩充和机器学习模型,以便用户可以更好地理解它们并根据需要进行修改。
今天,企业可以通过强大的算法,利用数据发现新的模型、设置基线和识别异常值,而且他们还更加关注异常行为识别(用户采取可疑行为),根据上下文信息(如来自 Sharepoint 或 IAM 系统的数据)对警报风险进行优先级排序。例如,使用合法凭据访问源代码的用户充其量可能是低优先级警报,但如果该用户几周内首次半夜访问可疑位置则应该触发高优先级警报。正是因为新增了这些功能,如今的安全分析解决方案逐渐可以自动触发补救措施。
近年来,安全分析发展迅速,展望未来,安全分析开始将SIEM、用户实体行为分析 ( UEBA )、安全编排、自动化和响应 ( SOAR ) 和扩展检测和响应 ( XDR ) 结合起来,以实现更加自动化,获取更多的威胁检测和响应遥测方法。
如今这些技术的进步正帮助减少安全团队的工作量,使他们能够更好地、更快地检测和遏制已知和未知的威胁。安全分析开放访问也是一个巨大的转变,它可以帮助团队更好地理解和调整这些解决方案,以验证模型并提供更强大的安全防护。
理想情况下,安全分析解决方案应该具有强大的预建机器学习模型库,不需要用户成为数据科学家来编辑它们,但如果需要,也可以为提供编辑选项。随着这些功能的不断发展,相信安全分析将成为安全团队数据泄露事件识别和威胁防范的关键因素。未来几年,“287天”这一数据也将逐步降低。