2017年3月6日,Forrester第一次發佈了安全分析平臺(Secuirty Analytics Platform)的Forrester Wave(類似Gartner的Magic Quadrant)。
首先,讓我們看看什麼是SA?
【定義1:Forrester】The primary purpose of SA is to provide centralized visibility across the environment for quick threat detection and resolution. 對整個(目標)環境提供集中化的可見性以快速地實現威脅檢測與處置。
【定義2:SANS】The discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.通過各種分析技術和傳播手段(例如可視化)來發現數據中有價值的模式或情報。
【定義3:Gartner】對一類數據的高級分析,以獲得有效的安全產出。這裏的高級分析特指機器學習、數據挖掘、深度學習、高級統計等分析方法,而非僅僅基於特徵/簽名的、或者基於規則匹配和一般性統計的分析方法。
【定義4:Gartner】利用邏輯的、數學的方法對安全數據進行分析,爲做出更好的決策提供洞見。
Gartner明確指出,安全分析是一種技術、是一套最佳實踐,而不是是一個細分市場,不存在安全分析產品市場。我在《什麼是大數據安全分析》一文中也提出了安全分析(包括大數據安全分析)“不是一個產品分類,而代表一種技術,一套安全分析的理念和方法”的理念。爲什麼?其中最明顯的一個原因就是各種安全產品都在利用(大數據)安全分析技術重塑自身(參見《大數據安全分析重塑網絡安全》一文)。
Forrester也應該是秉持相同的理念的。所以,他沒有對SA而是對SAP進行了產品和細分市場定義。
Forrester在《Counteract Cyberattacks With Security Analytics》一文中給SAP下了一個定義:
A platform built on big data infrastructure to converge logging, correlating, and reporting feeds from security information management (SIM), security solutions, network flow data, external threat intelligence, and diverse endpoints and applications. The SA platform uses this information and machine learning techniques to provide real-time monitoring and facilitate the rapid incident detection, analysis, and response.【SAP是一個構建在大數據架構之上的平臺,它融合了來自包括SIM,(特定)安全解決方案,網絡流數據,外部威脅情報和各種終端及應用的日誌數據、關聯數據和報表數據。SAP使用這些信息和機器學習技術爲(用戶)提供實時監測,促使(用戶)更快速地事件檢測、分析與響應。】
正如我在《大數據安全分析重塑網絡安全》一文中提出的大數據安全分析平臺一樣,SAP可以成爲一個企業的安全智能中心。
回到這篇Forrester Wave報告本身。Forrester認爲安全分析已經成爲網絡安全監測、告警和運維的必備技術。74%的全球企業安全技術決策者將安全監測排在的十分高的優先級。不論是現的安全廠商還是新興的安全廠商都在紛紛融入安全分析技術到其產品和解決方案中。SA解決方案使得安全與風險專家們能夠:
1)利用高級分析技術更好地檢測未知威脅;
2)藉助專門的分析工具和威脅捕獵的方法,更好地從歸檔日誌(數據)中檢索威脅信息;
3)更全面更細緻地監測內部網絡行爲,包括利用SUBA(安全用戶行爲分析)技術【注:Gartner稱爲UEBA技術】;
4)更快速地對告警信息進行調查追蹤;
5)利用SAO(安全自動化與編排)工具【注:gartner稱爲SOA】提升運維效率。
6)更好地遵從規範與標準。
報告還指出,SIM(即SIEM)廠商正在積極擁抱安全分析。SIM(SIEM)廠商增強的最常見的三種安全分析能力包括NAV、SUBA(UEBA)和大數據架構。
報告對候選廠商從多個考察維度進行了評估和綜合打分,最後評出了11個廠商。
我更感興趣的則是Forrester的評估指標體系(指標和權重)。因爲通過這些信息有助於我們觀察Forrester是如何對SAP進行技術分析的,也能反映出市場上對SAP普遍的需求與期望。其中,跟技術相關的指標包括:架構、部署模式、支持的數據類型、數據採集方式、定製化數據源、關聯分析規則、實時監測、檢測技術、風險評估機制、UEBA、終端分析、NAV、數據滲漏分析、日誌管理、威脅情報、漏洞數據、調查和事件管理、工作流、可視化、儀表板和報表、安全自動化、靈活性、兼容性、可伸縮性、UE,等等。
安全分析已來,你不擁抱它,他就淘汰你。