СЭМ КАРРИ: поставщики средств безопасности, которые не планируют пользоваться Большими Данными, могут уже сейчас «собирать вещи» и уходить с рынка |
«Вот что отныне будет дополнительно поставлено на службу информационной безопасности», — заявил Сэм Карри, главный технолог компании RSA, на обсуждении доклада, посвященного интеграции анализа Больших Данных в процессы обеспечения безопасности. Отвечая на вопрос, как именно RSA будет осуществлять новую стратегию, Карри заявил, что уже скоро появится информация о соответствующих новых продуктах и услугах компании. «RSA делает ставку на Большие Данные», — подчеркнул он.
Один из строительных блоков новой инициативы RSA уже на месте: в конце прошлого года она приобрела компанию Silvertail Systems, разработчика средств веб-аналитики и поведенческого анализа.
В программном докладе RSA высказывается мнение, что поставщики средств безопасности, которые не планируют пользоваться Большими Данными, могут уже сейчас «собирать вещи» и уходить с рынка.
«В ближайшие два года анализ Больших Данных изменит положение дел в большинстве сегментов рынка средств информационной безопасности, в том числе инструментов управления информацией и событиями безопасности (Security Information and Event Management, SIEM), сетевого мониторинга, аутентификации и авторизации пользователей, управления идентификацией, распознавания мошенничеств, а также руководства, управления рисками и контроля соответствия нормативным требованиям, — говорится в докладе. — В течение трех лет инструменты анализа данных эволюционируют и начнут предоставлять высокоразвитые средства прогнозирования и автоматизированные функции контроля, работающие в реальном времени». Такие средства, полагают в RSA, станут основой защиты от мошенничеств и скрытых кибератак, направленных на хищение критически важной информации.
Сегодня уже целый ряд компаний, например Red Lambda и Palantir, предлагают инструменты и сервисы, ставящие анализ больших объемов данных на службу безопасности. В 2013 году платформу безопасности, основанную на анализе Больших Данных, обещает предложить начинающая компания CrowdStrike.
Как объясняют в RSA, использование Больших Данных для нужд безопасности состоит в сборе огромных объемов информации в режиме реального времени для выстраивания профилей пользователей и систем с целью «выявления аномальной активности или поведения, указывающего на глубинные проблемы».
Сегодня, благодаря возросшей вычислительной мощности и усовершенствованиям систем хранения, СУБД и аналитических инcтрументариев, уже не существует такого понятия, как слишком большой срез данных, уверены в RSA. Любая информация, включая данные систем полнообъемного сохранения пакетов, ленты сообщений о внешних угрозах, потоки щелчков на сайтах, календари Outlook и активность в социальных сетях, может использоваться для аналитики в интересах безопасности.
В RSA считают, что компаниям следует готовиться к приходу Больших Данных в информационную безопасность: нужно заранее определиться, как создать централизованное хранилище, «где все относящиеся к безопасности данные будут доступны для аналитических запросов: это будет либо объединенный репозиторий, либо, что более вероятно, набор хранилищ с перекрестными ссылками друг на друга».
Большие Данные будут описывать «события вашей среды», но для анализа понадобятся не только данные самих систем безопасности, то есть межсетевых экранов и т. д., полагает Карри: «Нужны будут также данные из CRM, систем управления командировками, используемых облачных сервисов и прочих корпоративных приложений». По информации о служащих из кадровых систем, указывает Карри, например, можно будет определить попытки использовать чужие личные данные.
По словам Карри, общая цель предлагаемой трансформации — продолжить развитие средств безопасности, чтобы выйти за рамки SIEM и еще на этапе проектирования закладывать в инструменты функции накопления и анализа больших потоков данных.
«SIEM — это просто большие репозитории, которые нередко создаются лишь исходя из нормативных требований, — считает Карри. — Большие Данные потенциально способны дать возможность распознавать скрытые атаки еще в период, пока их устроители только пытаются найти путь к важнейшим данным и планируют их извлечение. Сегодня подобные атаки обычно остаются нераскрытыми, но высокоразвитые методы анализа данных в конечном счете позволят их побеждать».