Gartner表示，盡管機(jī)構(gòu)投入在安全方面的經(jīng)費(fèi)非常高，達(dá)到了空前的水平，大企業(yè)的安全方面的風(fēng)險(xiǎn)也達(dá)到了空前高漲的水平。各種先進(jìn)的攻擊帶來(lái)的影響已經(jīng)引起了企業(yè)董事會(huì)層面的關(guān)注，對(duì)于安全問(wèn)題的高度重視讓很多企業(yè)擁有了更多的資金，讓他們能夠在抵御這類(lèi)攻擊的時(shí)候能夠有更多勝算。

[[132122]]

Gartner 的研究總監(jiān)Eric Ahlm表示，“安全隱患檢測(cè)是安全買(mǎi)家最關(guān)心的事，這個(gè)領(lǐng)域的技術(shù)宣稱(chēng)能夠在空前的噪音背景下發(fā)現(xiàn)或者探測(cè)出先進(jìn)的攻擊。”他表示，“安全分析平臺(tái)讓用戶(hù)能夠感知到安全事件的發(fā)生，這些平臺(tái)收集并分析一整套更為廣泛的數(shù)據(jù)，這樣對(duì)組織傷害最大的安全隱患就會(huì)優(yōu)先被探測(cè)，并且具有更高的準(zhǔn)確度。”

將大量的能夠分析的安全數(shù)據(jù)收集起來(lái)對(duì)于安全事件、安全信息和事件管理(SIEM)技術(shù)以及可能的解決方案來(lái)說(shuō)具有非常重大的意義。雖然絕大多數(shù)SIEM產(chǎn)品都具有收集、存儲(chǔ)和分析安全數(shù)據(jù)的能力，這意味著可以從數(shù)據(jù)存儲(chǔ)中抽取出來(lái)(例如在SIEM中可以找到安全數(shù)據(jù))取決于數(shù)據(jù)的檢查方式。SIEM完成自動(dòng)分析——相比于用戶(hù)的查詢(xún)和規(guī)則——的能力的高低將成為區(qū)分SIEM供應(yīng)商水平高下的主要指標(biāo)。

用戶(hù)行為分析(UBA)是另一個(gè)已經(jīng)吸引了買(mǎi)家注意的安全分析的例子。UBA可以分析用戶(hù)的行為，這和檢測(cè)用戶(hù)信用卡防止盜竊的欺詐檢測(cè)系統(tǒng)異曲同工。UBA系統(tǒng)在探測(cè)有意義的安全事件方面也非常有效，例如有危險(xiǎn)的用戶(hù)賬戶(hù)和心懷不軌的內(nèi)部人。不過(guò)很多UBA系統(tǒng)能夠分析的可不僅僅是用戶(hù)信息，它們還能夠分析例如設(shè)備和地理位置等信息，而且還可以強(qiáng)化分析功能，以便分析更多的數(shù)據(jù)點(diǎn)，提高安全隱患探測(cè)的準(zhǔn)確性。

Ahlm先生表示，“今天，有很多可行的商業(yè)分析應(yīng)用工具能夠更好地定位安全技術(shù)，例如SIEM和UBA供應(yīng)商。”他表示，“但是，這些應(yīng)用或者其他的問(wèn)題也可能被安全市場(chǎng)的其他新興版塊覆蓋，安全行業(yè)的分析應(yīng)用還非常不成熟。”

隨著安全分析平臺(tái)逐漸成熟，準(zhǔn)確性不斷提高，其創(chuàng)新推動(dòng)因素就變成了分析可以使用多少數(shù)據(jù)。今天，關(guān)于主機(jī)、網(wǎng)絡(luò)、用戶(hù)和外部行動(dòng)者的信息是最常見(jiàn)的、納入分析的數(shù)據(jù)。然而，將情景信息納入分析的價(jià)值則是真正無(wú)限的，并且讓擁有有趣的數(shù)據(jù)的用戶(hù)和希望提高自己產(chǎn)品效用的安全供應(yīng)商擁有了新的機(jī)會(huì)。

總的來(lái)說(shuō)，分析系統(tǒng)往往能夠?qū)崿F(xiàn)更好地分析傾向，或者類(lèi)似的元數(shù)據(jù)，數(shù)據(jù)存儲(chǔ)讓它們能夠快速、幾乎是實(shí)時(shí)地找出有趣的發(fā)現(xiàn)。這種方法的挑戰(zhàn)在于重大的安全事件，例如安全破壞并不會(huì)一次性全部發(fā)生。它們可能是一個(gè)早期指標(biāo)，幾個(gè)小時(shí)之后出現(xiàn)一個(gè)小的事件，在幾天甚至幾個(gè)月之后才會(huì)出現(xiàn)數(shù)據(jù)泄露事件。當(dāng)這三件事被視為是同一個(gè)事件，只是碰巧在時(shí)間上跨越了——比如說(shuō)三個(gè)月，那么由幾個(gè)優(yōu)先級(jí)較小的時(shí)間構(gòu)成的整個(gè)事件的整體優(yōu)先級(jí)就高得多了，這就是為什么“回溯”是分析系統(tǒng)中一個(gè)關(guān)鍵概念的原因。

Ahlm 先生表示，“最終，輸出大數(shù)據(jù)分析結(jié)果的真正的人類(lèi)用戶(hù)界面將極大地決定了這項(xiàng)技術(shù)是否能夠得到采用或者被認(rèn)為能夠在合理的時(shí)間范圍內(nèi)產(chǎn)生有用的信息。”他表示，“像其他已經(jīng)使用了大數(shù)據(jù)分析尋找新事物或者產(chǎn)生新結(jié)果的領(lǐng)域一樣，數(shù)據(jù)的可視化將極大地影響這項(xiàng)技術(shù)的推廣。”

Gartner的報(bào)告——《市場(chǎng)趨勢(shì)：安全分析——安全問(wèn)題的新希望抑或只是炒作?》——中提供了更多信息。該報(bào)告可以在Gartner的網(wǎng)站上獲取。

Gartner Security & Risk Management Summits上將更多地探討業(yè)務(wù)中斷攻擊，該峰會(huì)將于6月8日至11日在馬里蘭州的National Harbor，8月10日至11日在圣保羅;8月24日至25日在澳大利亞悉尼以及9月14日至15日在英國(guó)的倫敦召開(kāi)。