Документ достаточно интересный, в рамках данной заметки я затрону следующие вопросы:
- как часто используются решения Security Analytics в предотвращении, детектировании и реагировании на инциденты информационной безопасности;
- наиболее значимые use cases по линии Security Analytics;
- области для будущих инвестиций, относящихся к Security Analytics.
При этом начать хотелось со ссылки на другой документ SANS «Using Analytics to Predict Future Attacks and Breaches», где дается ответ на вопрос: What exactly is security analytics?
Security analytics analyzes large datasets with technologies that enable rapid and accurate analysis, correlation and reporting to identify events and patterns of interest that may indicate malicious behavior in the environment.
Примерно об этом же говорится в самом первом Security Analytics Survey за 2013 год, но только более кратко:
Next generation of security tools—ones that process much larger data sets, are capable of deep-dive analytics, and rely more on intelligence than attack signatures.
Теперь последовательно рассмотрим интересующие нас 3 вопроса.
В 2016 году отмечается действительно активное использование Security Analytics в рамках различных фаз программы безопасности (предотвращение, детектирование и реагирование):
Среди наиболее значимых use cases стоит отметить:
- risk assessing, наиболее интересная позиция (Overall, responses indicate that we now have more and better data coming from systems and networks, and analytics are playing a more central role in determining the real risks we face from threats in our environment at all levels), стоит отметить, что в «чистом виде» она отсутствовала в Log and Event Management Survey;
- identifying suspicious or malicious user behaviors, данная позиция напрямую соответствует лидирующей причине для сбора log-ов.
Среди лидеров в области для будущих инвестиций, относящихся к Security Analytics, представлены:
- инвестиции в персонал, в т.ч. обучение: 49%, что подтверждает классический, где на первом месте кадры, а потом уже процессы и технологии (данная позиция является лидирующей с 2014 года);
- обновление Центров операционной безопасности (Security Operations Center, SOC): 42%, на мой взгляд, данная позиция «подпитана» существующими трендами SOC-ов;
- интеграция с Incident response: 29%, на мой взгляд тема, это одна из самых актуальных тем, т.к. в каком-то объеме выявлять инциденты информационной безопасности мы научились, а вот реагировать на них, точнее правильно реагировать, это отдельная и достаточно сложная задача, которая будет решаться в ближайшее время.
В заключении обращу внимание на еще один интересный момент, рынок SIEM-решений, почувствовав переход от Log and Event Management к Security Analytics (Analytics and Intelligence), отразил его в первую очередь в названиях своих продуктов, например:
- IBM QRadar Security Intelligence Platform;
- LogRhythm’s Security Intelligence Platform;
- RSA Security Analytics.
Успехов при реализации ваших Security Analytics решений!
