Egyre több IT-biztonsági szakértő véli úgy, hogy a biztonsági analitika a közeljövőben nagyadat-alkalmazássá fog válni. Az Enterprise Research Group felmérésének (The Emerging Intersection Between Big Data and Security Analytics) eredményei alapján úgy tűnik, minderről már jelen időben beszélhetünk.
Az ESG a Symantec megbízásából a múlt év végén az ezer főnél több alkalmazottat foglalkoztató észak-amerikai vállalatok körében több mint 250 biztonsági szakembert kérdezett meg ebben a témában, és a válaszadók 44%-a mondta azt, hogy cégénél a biztonsági analitikát már jelenleg is nagyadat-alkalmazásként kezelik. A megkérdezettek további 44%-a pedig azon véleményének adott hangot, hogy a két terület két éven belül találkozni fog.
Egyszerű oka van annak, hogy a biztonsági analitika ilyen gyors ütemben nagyadat-alkalmazássá válik. A nagyvállalatok mind több adatot gyűjtenek, dolgoznak fel, tárolnak és elemeznek annak érdekében, hogy jobb rálátást nyerjenek informatikai infrastruktúrájuk változásaira, a hálózatukon zajló tevékenységre és a kívülről fenyegető veszélyekre. Az ESG felmérése szerint a szervezetek több mint háromnegyede gyűjt például adatokat a felhasználók aktivitásáról, a tűzfal naplófájljaiból, illetve a hálózat fizikai védelméről. A vállalatok több mint fele az operációs rendszerek, alkalmazások, hálózati eszközök és hozzáférés-felügyeleti rendszerek naplófájljaiból összességében 19 különböző típusú adatot gyűjt biztonsági analitika céljára. Az is biztosra vehető, hogy az egyre újabb fenyegetések és sérülékenységek megjelenésével ez a szám a jövőben tovább fog nőni.
Biztonsági intelligencia
Az ESG felmérése rávilágított, hogy a nagyvállalatok mind kiterjedtebb és szerteágazóbb adatgyűjtést folytatnak, az adatokat hosszabb ideig őrzik meg, és azokat több, különböző elemzésnek, analitikai eljárásnak is alávetik. A házon belül elérhető, a vállalati hálózatról gyűjthető adatok azonban önmagukban már kevesek ehhez. Erre utal, hogy mind több nagyvállalat erősíti kockázat- és eseménykezelő gyakorlatát külső forrásból elérhető biztonsági adatokkal. A válaszadók közel kétharmada (65%-) mondta azt, hogy vállalata már jelenleg is használ külső adatkészleteket biztonsági elemzéseihez.
Válaszaik alapján az ESG egy pontozó algoritmus segítségével kategorizálta a felmérés résztvevőit. Ennek alapján a szervezetek 18%-a fejlettnek számít a biztonsági analitika és a nagyadat-alkalmazások használatát tekintve, 56%-uk haladó, míg 26%-uk kezdő szinten tart. Nem meglepő módon a fejlettként besorolt nagyvállalatok 95%-a külső adatokat is használ biztonsági elemzéseihez, de a haladók és a kezdők körében is magas (63, illetve 49%) ez az arány.
Elméletileg a külső forrásokból elérhető IT-biztonsági adatkészletek rendkívül hasznosak lehetnek, ha azokat a vállalat proaktív módon használja a kockázat- és az eseménykezelés, az észlelés és a válaszadás javítására. Összességében az elemzéseikbe külső adatokat is bevonó vállalatok 94%-a mondta azt, hogy ezt a gyakorlatot nagyon, vagy valamelyest hatékonynak találja. Szegmensenként azonban nagy eltérések mutatkoznak ennek megítélésében: egyedül a fejlettek közé sorolt vállalatok körében magasabb a gyakorlatot nagyon hatékonynak tartó válaszadók aránya. A haladók és a kezdők többsége (76, illetve 65%) csupán valamelyest hatékonynak értékelte a külső adatkészletek használatát.
Bevált gyakorlat
Felmerül a kérdés, hogy a fejlett felhasználónak számító nagyvállalatok mit csinálnak jobban, a biztonsági analitika számukra miért ad nagyobb értéket? A felmérés során begyűjtött válaszok alapján az ESG négy területet azonosított, amelyen a fejlett felhasználók bevált gyakorlatot alkalmaznak:
A biztonsági intelligencia összehangolása a megelőzés és a védekezés célkitűzéseivel. A fejlett felhasználók 41%-a főképp azért gyűjti és elemzi az adatokat, hogy a lehető leggyorsabban észlelje a kockázatok változását. Összehasonlításképp a haladók körében 32, míg a kezdők csoportjában mindössze 16 % volt ez az arány.
Ennek hátterében az áll, hogy a fejlett vállalatok 82%-ánál formális kockázatkezelő, illetve GRC (governance, risk, compliance)-program működik, szemben a haladók 54 és a kezdők 38%-ával. A külső adatkészleteket legjobban hasznosító vállalatok nem elszigetelten elemeznek, hanem a biztonsági analitikát az IT-biztonság holisztikus megközelítésének részévé teszik.
Biztonsági analitikai információk hozzáférhetővé tétele a vállalat műszerfalain. Kockázatkezelő programjának részeként a fejlett felhasználónak számító vállalatok 64%-a műszerfalat is készített, amelyet aktív módon használ nagy mennyiségű adat begyűjtésére és elemzésére, a külső forrásokból elérhető adatokat is beleértve. Ebben a csoportban a válaszadók 43%-a mondta azt, hogy a biztonsági intelligencia a vállalat biztonsági műszerfalának egyik bemenetét alkotja.
Bár a haladó és a kezdő szervezetek többsége ma még nem rendelkezik kockázatkezelő műszerfallal, 68, illetve 54%-uk tervezi annak bevezetését a következő pár évben. A fejlett felhasználók tapasztalataiból ítélve célszerű lesz, ha a műszerfalat biztonsági analitikai eszközeikkel is összekapcsolják.
Biztonsági analitikai információk megosztása az alkalmazottak nagyobb csoportjával. Az ESG felmérése szerint összességében a nagyvállalatok 46%-a 5-10 alkalmazottnak ad hozzáférést a biztonsági elemzésekhez. A szegmentációs modell szerinti bontásban azonban szembetűnő eltérés mutatkozik a fejlett, haladó és kezdő vállalatok gyakorlatában.
A fejlettként jellemzett szervezetek 40%-a 11-25, 33%-a 26-50 alkalmazott között osztja meg rendszeresen a biztonsági információkat - szemben a haladó vállalatok 35 és 8%-ával, illetve a kezdők 15 és 3%-ával. Az elemző elismeri, hogy ebben a méretbeli különbségek is közrejátszhatnak, mivel a fejlett felhasználók a több alkalmazottat foglalkozó vállalatok közül kerültek ki. Ezzel együtt tanulságos lehet, hogy éppen ezek a szervezetek tartják fontosnak, hogy az információk vállalaton belüli megosztásával az IT- és információbiztonsággal összefüggő tevékenységek minél szélesebb körét támogassák.
Külső, biztonsági szolgáltatások aktív keresése a biztonsági analitika javításához. A kockázat- és eseménykezelés nagy hozzáértést igényel, amelyet a kellően képzett munkaerő hiánya miatt számos szervezet nélkülöz. Az ESG felmérése szerint a nagyvállalatok 55%-a ezért professzionális és menedzselt szolgáltatásokat kínáló, külső szolgáltatóktól kér segítséget, míg további 16%-uk két éven belül ugyanezt tervezi.
Figyelemre méltó, hogy éppen a fejlettként kategorizált nagyvállalatok körében a legmagasabb a külső szolgáltatásokat kiterjedten vagy részben használó szervezetek aránya (34, illetve 43%). A haladók 8 és 51%-a, míg a kezdők csupán 3 és 29%-a nyilatkozott hasonlóan. Mindez arra utal, hogy a fejlett szervezetek IT-biztonsági felkészültségük ellenére - vagy éppen annak köszönhetően - tisztában vannak azzal is, hogy bizonyos fenyegetések és kockázatok kezelése túlnő képességeiken. Ugyanakkor pontosan meg tudják határozni a követelményeket, a teljesítésükhöz szükséges feltételeket, és azt is, hogy a professzionális szolgáltatások miként segíthetik őket a kitűzött cél elérésében.
Az ESG felméréséből kitűnik, hogy a biztonsági analitika már nagyadat-alkalmazássá vált számos szervezet gyakorlatában. Nagyon fontos, hogy az IT-biztonságért felelős vezetők mérlegeljék ennek következményeit is. A nagyvállalatok sok terabájt biztonsági adatot gyűjthetnek össze, melynek érdembeli hasznosításához speciális adattípusokra és hozzáértésre is szükség lesz. A területen élenjáró felhasználók tapasztalata azt mutatja, hogy a külső szolgáltatók mindebben sokat segíthetnek, szolgáltatásaik a biztonsági analitikát nagyadat-alkalmazásként kezelő stratégia szerves részévé válhatnak.
