在刚刚到来的2014年中,大数据安全分析正在逐步进入企业主流安全体系当中,从中我们可以看到一些机会:
1.事件检测与响应方面的问题仍持续存在。现有的整体性安全分析工具根本无法与先进恶意软件、隐身攻击技术以及精心组织且日益壮大的全球网络攻击者阵营相抗衡。当CISO们刚刚从Bit9、Damballa、FireEye以及Invincea手中买来高级恶意软件工具之后,往往会很快意识到他们仍然需要补充新的实时及非对称性大数据安全分析机制作为防御层,否则企业安全仍然得不到保障。而由此带来的则是大数据安全分析产品的RFI/RFP、评估与实际销售。
2.摩尔定律与开源趋势。多核64位英特尔服务器在配备了10gbps网络接口之后不仅将处理速度推向新高度,同时也带来了相对低廉的价格。这些设备拥有处理大规模数据流及批量流程所必需的强大处理能力,而这二者正是构成大数据安全分析工作中的“阴阳二气”。在软件方面,安全供应商正在加快部署定制化开源工具的步伐,其中包括Cassandra、Hadoop、MapReduce以及Mahout等并将其用于安全领域。而这也将有助于创新活动的进一步加速。
3.产品供应阵营同样活跃而庞大。除了早已在安全领域根深蒂固的技术巨头们,例如HP、IBM、McAfee以及RSA Security等等,CISO们同样会在名单中看到众多新兴参与者的名头。其中21CT、ISC8、Hexis Cyber Solutions、Leidos、Narus以及Palantir将不再仅仅局限在政府业务领域,而是继续向私营企业市场发起冲击(另外,如果Booz Allen、Lockhead以及Raytheon等来自华盛顿的大牌厂商参与进来,大家也完全不必惊讶)。另外,像Click Security、Fortscale以及Netskope(CISO们请注意,开明的接纳态度与广泛关注及评估是在大数据安全分析领域取得成功的要诀;事实上其中一些新兴厂商的实力背景与理解程度甚至优于老牌企业)。
因此,很明显市场需求是客观存在的,而且足以支持技术的后续发展以及相关创新活动。更重要的是,这类方案实际上是以精致的数学模型与算法为基础的,因此能够确切产生效果。既然如此,这一市场岂不是无可匹敌、大可勇猛精进了?很遗憾,答案并不尽然——下面我们就来看看其面临的几大主要阻碍:
1.用户培训。要真正从大数据安全分析机制当中受益,我们需要深入理解其中的技术元素,例如交换/路由、操作系统、日志、流、IP包元数据、DNS、应用程序、DHCP、网络/终端取证、恶意软件属性、恶意软件行为以及已知威胁载体等。除此之外,大家可能还需要来自数据架构师、统计学家以及数据科学家的帮助与引导。某些企业也许已经拥有此类人才,但具备这些技能的员工实在非常少见,而且最近一段时间要将他们招纳至自家旗下已经变得极度困难。想拥有属于自己的大数据技术人员,大家将不得不经历漫长的研究、培训与交流整合,而这一切令不少企业在光辉灿烂的大数据安全分析领域抱憾止步。
2.大数据安全分析是一种解决方案而非实际产品。即使我们已经对前面提到的各项内容了如指掌,仍然无法直接获得成功——很明显,大家还需要弄明白如何将其有机地融合在一起。我们应该收集哪些数据?应该如何进行收集?我们是否拥有合理的流程与方案来设计、部署并进行大数据安全分析操作?我们该从何处着手又要如何开始处理?对于大多数过去一直只知道批量采购最新安全产品的企业来说,这样的要求无疑是对传统与习惯的重大挑战。很遗憾,用资金砸出方案的办法在大数据安全分析领域并不起作用——刚刚提到的这些问题必须由企业亲自解决、旁人无法替代。请CISO们注意:如果某家供应商声称他们能够提供一站式解决方案,务必让他们赶紧滚蛋、越快越好!
3.安全分析师们将需要出售新型分析工具。SOC领域的安全分析师往往有些古怪,他们往往愤世嫉俗、高度依赖技术手段、情绪浮躁且倾向于独立处理问题。他们经常出于本能地将安全分析机制作为思考基础,并在开源工具、Excel数据透视表以及脚本的处理方面采用非对称性调查流程。这些家伙在自己的本职工作领域表现得非常出色,但却很难在其它任务方面有所建树。再有,我们很难招聘并真正雇用到这类人才。SOC与安全分析团队需要得到全力支持,并在执行过程中始终有能力购买任何必需的数据安全分析项目。睿智的CISO会确保供应商同时为该团队提供培训师,从而为团队带来宝贵的技能知识与经验教训。另外,安全分析师还必胹积极接受调查流程与工作方式的转变,只有这样才能真正适应大数据安全分析系统的客观特性。
综上所述,我相信大数据安全分析方案将在2014年迎来快速发展、相关营收也将不断提升。然而,要获得全面成功、此类方案显然还有很长的路要走。供应商必须为企业用户可能面临的挑战作好准备,其中包括理想的服务、沟通、培训、架构调整以及行业合作伙伴,从而支持CISO们顺利应对复杂的规划、部署及运营任务。另外,企业也必须以积极而谨慎的态度审视大数据安全分析项目,并在各类技术细节、架构决策以及流程变更方面作好充分的准备。