Minden eddiginél többet költenek a vállalatok IT-biztonságra, de a nagy szervezeteket érő, fejlett támadások száma is sorra dönti a korábbi csúcsokat. Olyan méreteket öltött a fenyegetés, hogy a védekezés problémája már igazgatótanácsi szinten is napirendre került, és ez a fokozott odafigyelés gyakran az IT-biztonsági költségkeret növelésében is megnyilvánul – mutatott rá a Gartner egyik legutóbbi jelentésében (Market Trends: Security Analytics – A New Hope for Security, or Just Hype?), amelyet informatikai biztonsággal és kockázatkezeléssel foglalkozó konferenciasorozata kapcsán tett közzé.
Különösen keresettek a biztonsági réseket és fejlett támadásokat minél gyorsabban észlelő megoldások, a biztonsági analitikai platformok, amelyek sokkal több adat közel valós idejű elemzésével segítenek a legnagyobb kárt okozó vagy kockázatot jelentő események pontos azonosításában.
A biztonsági események megértését nagy adattömegek gyors elemzésével segítő megoldások élmezőnyét a biztonsági információk és események kezelésére szolgáló SIEM (security information and event management) technológiák vezetik. A SIEM termékek többsége a hálózati események monitorozásán keresztül a biztonsági adatok begyűjtésére, tárolására és elemzésére is alkalmas, alapvetően abban térnek el egymástól, hogy a felhasználói lekérdezésekhez és beállított szabályokhoz viszonyítva milyen mértékben automatizálható velük az analízis.
Élénk érdeklődés övezi a felhasználók hálózati tevékenységének elemzésére szolgáló UBA (user behavior analytics) analitikai eszközöket is, amelyek észlelik, ha lopott felhasználói azonosítókkal próbálnak visszaélni külső támadók, vagy házon belüli, jogosult felhasználók kísérlik meg a károkozást. Bár az UBA rendszerek képességei nem lebecsülendők – többek között a különböző eszközökön és földrajzi helyszíneken átívelő felhasználói tevékenység is elemezhető velük –, funkcióik még bőven továbbfejleszthetők, például még több adatforrás elérése és a még pontosabb elemzés érdekében, tette hozzá a Gartner.
Napjainkban jellemzően a host gépekről, a hálózatokról, a felhasználókról és a külső szereplőkről gyűjtenek adatokat az IT-biztonsági analitikai eszközök, azonban a lehetséges adatforrások és összefüggések száma ennél sokkal szélesebb, ezért a további fejlesztések is az analitikai látóhatár kiszélesítését fogják célozni, tette hozzá a piacelemző cég.
Az analitikai rendszerek általában a karcsú, metaadatszerű adatok elemzésében jeleskednek, mivel ez közel valós idejű felismerést tesz lehetővé. Kihívást jelent ezért számukra, hogy a biztonsági események gyakran hosszabb idő alatt bontakoznak ki, az első előjeleket például órákkal később kisebb esemény követheti, míg a tényleges adatszivárgásra napokkal, de akár hónapokkal később kerülhet sor. Az analitikai rendszereket fel kell készíteni arra, hogy a hónapokat átívelő eseménysorozatot egyetlen biztonsági eseményként értelmezzék, és már az előjeleket észlelve nagy kockázatú eseményre figyelmeztessenek, méghozzá pontosan.
Minden automatizálással együtt azonban végső soron az fogja eldönteni az IT-biztonsági analitikai platformok piaci sikerét is, hogy a felhasználók, a biztonságért felelő szakemberek miként tudnak velük dolgozni. Más szóval elfogadásukat nagyban befolyásolják majd az adatvizualizációs képességek.