EMC旗下信息安全事業部RSA今日發表最新「Security Brief」報告,預計海量數據將驅使整個資訊保安業轉型,並推動以情報主導的資訊保安模式的發展。海量數據將為資訊保安領域內的不同範疇帶來重大改革。報告又預計,海量數據在2015年將為資訊保安領域包括資訊保安事件管理(SIEM)、網絡監控、用戶身份辨識和授權、身份管理、欺詐偵測、企業管治、風險及法規遵循系統等大多數產品類別帶來足以改變市場的影響。
報告明確指出,海量數據帶來的變化已經出現。領導資訊保安機構將於今年部署已商業化、現存的海量數據解決方案,以支援他們的資訊保安營運。在此之前,部署在資訊安全監控中心(SOCs)內的先進資料分析工具都是特別定制的, 2013年標誌著資訊保安中的海量數據技術商業化的開始,在未來幾年將重塑企業的資訊保安模式、解決方案和IT開支。
長遠來看,海量數據亦將改變反惡意程式、防止數據流失和防火牆等傳統資訊保安控制措施的性質。在三到五年內,數據分析工具將進一步發展,以達致高級的預測能力和自動化的即時控制。
面對現今廣泛延伸、基於雲端和高流動性的商業社會,沿用的依賴周邊防禦、及要求預知網絡威脅知識的靜態保安控制措施已經不合時宜。因此,資訊保安行業的領導者已轉向採用以情報主導的資訊保安模式,這是一種能夠預測風險、判斷前因後果、靈活,並能幫助企業防禦未知的網絡威脅的模式。具備海量數據處理效能的工具所支援的以情報主導保安策略,融合了動態風險評估、龐大保安數據分析、自適應控制,以及有關網絡威脅及攻擊的資訊共享。
報告列出六項指引,協助企業在海量數據的促使下,計劃改革他們的資訊保安工具及營運,並作為以情報主導的資訊保安解決方案的一部分。
• 設立一個全面的網絡資訊保安策略——企業應針對其特定的風險、威脅和需求而設立全面的網絡資訊保安策略以調整資訊保安能力。
• 為保安資訊建立一個共享的數據結構體系——由於海量數據分析需要從多種來源收集各種不同形式的資訊,建立一個所有資訊都能被擷取、索引、標準化、分析和共享的單一結構是一個合理的目標。
• 從單一產品遷移到統一的安全結構體系——企業需要策略性地考慮未來數年該繼續支持和使用哪項資訊保安產品,因為每個產品都需要引入自己的數據,並被整合到一個統一的分析框架中,以實現資訊保安。
• 尋找開放和可擴充的海量數據資訊保安工具——企業應持續投資於採用靈活分析模式的資訊保安產品,而不是基於網絡威脅特徵或網絡邊界的靜態工具。嶄新的海量數據工具能提供靈活的結構應付商業、IT或網絡威脅環境的改變。
• 強化資訊安全監控中心的數據科學技術——儘管嶄新的資訊保安解決方案已具備海量數據處理能力,然而資訊保安團隊卻未能追上。數據分析行業是一個缺乏專才的領域。企業對具有資訊保安專業知識的數據科學家十分稀少,但人才需求殷切。因此,許多企業均轉而向外找尋合作夥伴,以填補其資訊保安分析能力的不足。
• 充分利用外在的網絡威脅情報——充分利用外在的網絡威脅情報服務以增強內部的資訊保安分析程式,並對可信及相關來源的網絡威脅進行評估。
報告觀點認為,當海量數據整合至資訊保安系統,IT環境的可視性、正常活動和可疑活動的分辨能力將會顯著增強以確保IT系統的可信性,並大大提高資訊保安事故的反應能力。
Booz Allen Hamilton 高級副總裁William H. Stewart表示:「業界局面正在改變。越來越多的數據正自動進入互聯網,而這項趨勢將會持續。因此,兩三年前被看好的保安分析工具已沒有那麼奏效。現在你需要查閱更多數據,並尋找更隱密的網絡威脅。商業工具亦正在演變以充分利用流向網上的海量數據。」
EMC旗下信息安全事業部RSA首席資訊保安主任Eddie Schwartz表示:「來年具有漸進式保安能力的一線企業將會基於海量數據分析採用以情報主導的資訊保安模式。兩三年內,這種資訊保安模式將成為一種生活方式。」
EMC旗下信息安全事業部RSA首席科技主任、身份認證及數據防護部首席科技專家Sam Curry表示:「海量數據正在改變並且不斷突破如基於網絡威脅特徵的反惡意程式、防火牆和基於規則的身份認證及存取管理工具等傳統保安措施的性質和限制。海量數據正以新的方式被應用於保安措施,使其具自適應能力、以風險為本和能自助學習以持續進行保安評估,並根據不斷變化的環境和風險程度自動調節保安級別。隨著用戶身份資料與復雜數據匯集一起而變得更多樣化,透過數據比較正常與異常的行為,便能預先發現及應對網絡威脅和欺詐。 」
關於RSA 「Security Brief」報告
RSA保安報告為現今數碼資訊嚴峻的風險和機會提供策略性的見解及技術指引。一系列的報告均由對有關主題具豐富知識並充分了解領先企業如何處理資訊保安風險的專家撰寫。 RSA保安報告提供針對重大趨勢及實際的技術建議,對具有遠見的保安行政人員的而言是非常重要的讀物。