Manažeři informační bezpečnosti by si měli citát bývalého senátora za stát Georgia zapsat do paměti v kontextu kybernetické bezpečnosti. Citát zní: „Informace jsou naší první linií obrany a my musíme zlepšit schopnost jejich sběru a analýzy, abychom dokázali zajistit bezpečnost Spojených států a jejich spojenců."
Jinými slovy, veškerá rozhodnutí o strategiích kybernetické bezpečnosti, programových prioritách, investicích apod. by měla vycházet z analýzy aktuálních i historických dat. Jakých typů dat? EDR dat, síťových metadat, cloudových záznamů, údajů o identitě, poznatků o hrozbách a tak dále.
Některé aspekty této exploze dat již pociťujeme. Jak ukazuje výzkum společnosti ESG:
- 75 % firem dnes shromažďuje, zpracovává a analyzuje více bezpečnostních dat než před dvěma lety. Téměř třetina (32 %) podniků tvrdí, že množství takových dat je „podstatně větší" než v roce 2018.
- 52 % firem uchovává bezpečnostní data on-line po delší dobu než v minulosti, zatímco dalších 28 % podniků by chtělo bezpečnostní data uchovávat on-line, ale nemůže z finančních nebo provozních důvodů.
Pro uchovávání dat po delší dobu 83 % dotázaných využívá off-line neboli tzv. studené úložiště. To sice pomáhá udržet náklady na infrastrukturu pod kontrolou, ale komplikuje zpětné vyšetřování bezpečnostních událostí.
Stoupající požadavky na analýzu bezpečnostních dat a jejich praktické využití byly prioritou již počátkem roku 2020. Pandemie COVID-19 zvýšila naléhavost práce s těmito daty – objevily se nové účely analýzy, nové vzorce síťového provozu, nové potřeby behaviorální analýzy a nová slepá místa.
Na konci léta zahajují CISO proces plánování na rok 2021. I menší podniky se přitom musejí připravit na prudký nárůst požadavků na sběr, zpracování a analýzu bezpečnostních dat.
CISO by měli přemýšlet o konsolidovaných službách správy dat – repozitáři veškerých bezpečnostních dat bez ohledu na jejich zdroj, formát a typ. Měli by při tom úzce spolupracovat s CIO a zjistit, zda by bylo možné agregovat bezpečnostní a provozní IT data na jednom místě.
Ve všech odvětvích bez ohledu na požadavky na compliance bude budoucí podoba sběru, zpracování a analýzy silně záviset na cloudových prostředcích. Do roku 2022 přesune většina firem veškerá bezpečnostní data do cloudu nebo bude využívat hybridní architektury, které jsou výrazně orientované na cloudovou infrastrukturu.
Cloudové prostředky budou nutné i pro novou vlnu bezpečnostní analýzy velkého rozsahu.
Nástroje pro bezpečnostní analýzu a provoz zabezpečení se dnes zaměřují především na detekci hrozeb a reakci na ně. Můžeme však očekávat nové kolo inovací v oblasti analýzy velkých dat pro účely řízení kybernetických rizik, kam spadají aktivity jako správa prostoru pro potenciální útoky, řízení rizik třetích stran a správa zranitelností, které závisejí na sběru a analýze dynamických dat. Setkávat se budeme s realtimovými manažerskými přehledovými panely pro identifikaci, stanovení priorit a eliminaci kybernetických rizik. Relevantní nástroje nabízejí poskytovatelé jako AttackIQ, Bugcrowd, CyCognito, Randori a další.
Bezpečnostní analýza vyžaduje bezprecedentní rozsah. Můžeme očekávat prudký nárůst poptávky po službách externích poskytovatelů (AT&T, DeepWatch, Proficio atd.) – a to i ze strany největších podniků. Ti, kdo se rozhodnou jít vlastní cestou, budou pravděpodobně využívat odbornou pomoc poskytovatelů jako ThetaPoint a dalších.
Odborné znalosti problematiky zpracování bezpečnostních dat budou na trhu práce velmi žádané vzhledem k přechodu na streamování dat pro analýzu v reálném čase. Málokterá firma však zaměstnává dostatek expertů na správu dat, takže ke slovu přijdou externí poskytovatelé odborných služeb v této oblasti.
Budeme se setkávat se všemi typy platforem pro provoz zabezpečení a bezpečnostní analýzu – tržišti (à la CrowdStrike a PAN), partnerstvími (Google/Tanium, mnoho partnerů Splunk apod.) – a dojde i k řadě fúzí a akvizic.
V souvislosti s přesunem bezpečnostních dat do cloudu mají poskytovatelé cloudových služeb jako Amazon, Google nebo Microsoft značnou výhodu domácího hřiště. To je jeden z důvodů, proč se všichni tři vrhli na bezpečnostní analýzu a provoz v podobě Amazon Detective, Google Chronicle a Microsoft Azure Sentinel. Aby jim jiní poskytovatelé (jako Devo, Exabeam, LogRhythm, Securonix ad.) dokázali konkurovat, musejí je překonat ve snadnosti použití, možnostech analýzy, automatizaci procesů apod.
S předchozím bodem souvisí skutečnost, že pokročilá analýza představuje vznikající bitevní pole. Objeví se na něm specialisté na analýzu dat jako Palantir, SAS a další. To je také důvod, proč MicroFocus (ArcSight) převzal Interset a SumoLogic pohltil JASK.
Open source software jako ELK bude hrát určitou roli, ale firmy ve většině případů nebudou schopné programovat open sourcové nástroje tak, aby dokázaly udržet krok s rozsahem a dynamickou povahou potřeb bezpečnostní analýzy a řízení provozu zabezpečení. Trh bude proto patřit komerčním cloudovým řešením.
Zatím není zřejmé, jakou roli bude hrát XDR, ale v každém případě zůstane v blízké budoucnosti podpůrnou technologií.
Zajímavým aspektem tohoto trendu je abstrakce a centralizace uživatelského rozhraní pro provoz zabezpečení. Jako příklad můžeme uvést IBM Cloud Pak for Security nebo Splunk Mission Control.
Někteří lidé považují tyto změny za vážné ohrožení vedoucí pozice platformy Splunk, ale podle mého to nehrozí. Ano, Splunk se bude muset snažit, aby setřásl další konkurenty a nové obchodní modely, ale v současné době jde správným směrem a úspěšně investuje a přizpůsobuje se novému vývoji.
Čeká nás mnoho změn.