2013年9月份,SANS发布了2013年度的日志管理调查报告。今年的报告改名为安全分析调查(Security Analytics Surevey)。这次的调查之所以改名,是因为此次SANS将调查的内容聚焦到了大数据库分析上。这也进一步说明了SIEM/LM与BDA之间的密切关系。的确,正如SANS所述,在谈到安全的大数据分析,人们一般都会首先将注意力放到SIEM/LM产品及工具上。而SIEM/LM也是最积极拥抱大数据分析的产品和技术。

SANS认为,一般的BDA架构包括两个基础性技术:分布式程序框架和非关系型数据存储。然而,在SIEM平台,并非绝对,除了上述两个基础性技术,现在还有很多其他的架构选择,依然能够更快更精准地采集和处理天量数据。正如调查报告显示的,调查表明大部分用户仍然在观望采用诸如hadoop技术的安全分析工具,同时更多地借助现有SIEM/LM产品架构来尝试安全大数据分析。

什么是安全分析?可以看作是下一代的SIEM/LM技术,通常包括:更广泛的安全事件类型的采集,不仅是现在的软硬件资产的日志信息;更有效的关联分析,包括情境关联和关联规则发现;更加前摄性的和更加具有指导性的分析,包括对下一步的预测分析和对已发生事件根本原因分析;更大范围内的分析,尤指安全智能。

什么是安全智能?Gartner的报告《Prepare for the Emergence of Enterprise Security Intelligence》中认为:企业安全智能包括对企业的IT系统中所有跟安全相关的数据的收集,以及安全团队的知识和技能的运用,从而达成风险消减的目的。

这份报告有很多具有指导性的调查结论,这里,我列举部分信息:

要识别***,还是要收集更多的数据,尤其是情境数据。

日志管理和SIEM产品依然是当前的安全分析工具首选。用到了hadoop和NoSQL的人都少于10%。

用户未来在安全分析的投资依然会集中在SIEM和LM上,同时,对于人的技能培养都很看重。

的确,正如我一直所说的,安全分析,或者说传统的SIEM/LM的使用,很大程度上依赖于使用者的技能,否则再好的扫帚恐也扫不净房间。

【参考】