Forrester: Security Analytics

Forrester: Security Analytics
Не так давно я разбирался в том, как SANS Institute перешел от понятия SIEM к понятию Security Analytics.
И вот, на прошлой неделе исследовательская и консалтинговая компания Forrester выпустила отчет «The Forrester Wave™: Security Analytics Platforms, Q1 2017. Tools And Technology: The Security Architecture And Operations Playbook».
Данные отчет привлек мое внимание по ряду причин, во-первых, хотелось понять, что вкладывается в данном случае в термин «Security Analytics», а во-вторых, интересно как эти данные коррелирует с данными от не менее известной компании Gartner (Forrester ведь тоже использует аналог магического квадранта)?
Стоит отметить, что документ ориентирован на так называемых профессионалов в области безопасности и рисков (security and risk (S&R) professionals), что отражается, в т.ч. и в используемой терминологии в документе.
На мой взгляд, данный отчет появился именно сейчас не просто так, дело в том, что в 2015 году компания Forrester в документе «Security Analytics Brings Data-Driven Security Into The 21st Century» обозначила, что 70% респондентов планируют использовать SA-платформу в ближайшие 2 года (т.е. в 2016 – 2017).

В данный отчет попали 11 игроков, а точнее SA-провайдеры (security analytics (SA) providers):
- BAE Systems;
- E8 Security;
- Fortinet;  
- Hewlett Packard Enterprise (HPE);
- Huntsman Security;
- IBM;
- Intel Security;
- LogRhythm;
- RSA;
- Securonix;
- Splunk.

Из ключевых результатов отмечено, что:
- лидерами являются IBM, Splunk, LogRhythm и RSA;
- HPE, Securonix, E8 Security, Fortinet и Intel Security предлагают конкурентоспособные решения;
- BAE Systems и Huntsman Security демонстрируют серьезные перспективы;
- S&R-специалисты все больше доверяют SA-провайдерам и вступать с ними в стратегическое партнерство;
- производители улучшили возможности по выявлению инцидентов ИБ, разделили поведенческий анализ и аналитику на конечных точках.

А теперь перейду к интересующим нас вопросам.
В самом же начале отчета видно, что речь идет о продолжении SIEM-тематики:
First-generation security information management (SIM) solutions never lived up to their promise to detect threats. Traditional SIM vendors are increasing the variety of data sources and integrations while adding advanced detection technologies.

Собственно, подтверждается тот факт, что на базе «классических» SIEM-систем за счет добавления новых технологических решений:
- анализ сетевого трафика, в т.ч. Deep Packet Inspection;
- поведенческий анализ, в т.ч. User Behavior Analytics;
- киберразведка (Threat Intelligence);
- автоматизация процедур реагирования (Incident Response),
«вырос» новый класс решений «Security Analytics Platforms».

Дополнительно, обратившись к более старым материалам Forrester, данные выводы были подтверждены.
Так в декабре 2015 года у Forrester вышел документ «Security Analytics Is The Cornerstone Of Modern Detection And Response. Organizations Must Evolve Beyond SIEM To Address The Rapidly Changing Threat Landscape», в котором ключевой вывод следующий:
Yet SIEM hasn’t kept pace with the security needs of modern enterprises — it is adequate for compliance but inadequate for incident detection and response. It’s time for S&R professionals to implement a purpose-built technology for incident detection and response: security analytics (SA).
02481b5e60ae91960d961f590dd68893.jpg  
В мае 2016 года был документ «Market Overview: Security Analytics Platforms», в котором упоминается следующее определение для SA-платформы:
A platform built on big data infrastructure to converge logging, correlating, and reporting feeds from security information management (SIM), security solutions, network flow data, external threat intelligence, and diverse endpoints and applications. The SA platform uses this information and machine learning techniques to provide real-time monitoring and facilitate the rapid incident detection, analysis, and response.

В этом же документе упоминается, что производители SIEM-решений добавляют аналитические возможности в свои существующие платформы. В подготовке данного документа тогда приняли участие следующие компании:
- BAE Systems;
- Bay Dynamics;
- HP ArcSight;
- Huntsman Security;
- IBM;
- Logrhythm;
- SAS;
- Securonix;
- Splunk.

Все из них, кроме Bay Dynamics и SAS, «получили статус» SA-провайдера в свежем отчете.
Понимая, что Security Analytics Platforms это развитие SIEM, можно сравнить данные от Gartner из отчета «2016 Magic Quadrant for SIEM» с данными из рассматриваемого отчета от Forrester.
В данном случае я оставил только верхний правый сегмент, в т.ч. закрасил излишнюю информацию:
a1b1b4ea2183369e1880dbf3130b7271.png

Из данного сравнения можно сделать вывод, что мнения данных исследователей достаточно хорошо коррелируют, опираться на них или нет решать только вам.

Успехов при выборе и внедрении «вашей» Security Analytics Platform-ы!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?