RSA 2017前瞻：安全分析和操作

到目前为止，我已经写了两篇博客谈我对下周RSA安全大会的期望。第一篇博客是关于端点安全的前景，第二篇则是关注网络安全。

我现在也正在进行一个关于安全分析和操作的大型研究项目，我相信很多独立技术将被集成到一个全面的架构中，ESG称这个架构是SOAPA（即安全操作和分析平台架构）。

考虑到SOAPA，下面是我期待在RSA大会上看到的：

1、网络安全数据无处不在。网络安全分析和操作过去主要是基于几个主要数据源：日志文件和事件。应用、数据库、网络、安全和系统日志现在得到了大量其他数据源的补充——端点和网络行为数据、威胁情报数据、恶意软件分析、社交网络数据等等。

事实上，我之所以期待看到安全分析和操作架构的原因纯粹是当下被捕获、处理和分析的安全数据量正在大量增长。其中很多数据仍然是分布式的，而安全分析和操作工具必须拥有跨所有这些领域的可见性、知识和决策能力。这意味着SOAPA将是一种以事件为驱动的软件架构（想象一下SOA 2.0），具有高度分布式的数据管理基础设施。我希望听到厂商们谈谈他们对这种架构的想法和计划。

2、SIEM还在。多年来我一直听到“SIEM已死”这样的说法，但我仍然不认同这种说法。我想说的是，SIEM正在发展中。例如，AlienVault是一个完整的操作和分析平台。IBM以对QRadar进行了扩展，支持AppExchange和Resilient用于事件响应。LogRhythm增加了自己的主机代理和网络安全分析，Splunk收购了Caspida获得UBA，在自适应响应方面也做了很大努力。

虽然这些厂商都在寻求扩大覆盖面，但真正发生的是，SIEM功能正在扩展成为一系列互连的功能、模块和服务，换句话说，就是一个软件架构。所有领先的SIEM厂商都需要确保他们的产品是为开放和集成而开发的，同时推动创新和并购活动，因为他们都在努力成为SOAPA的中心，用于连接合作伙伴提供的大量连接选项。

3、威胁情报日趋成熟。威胁情报在之前的RSA大会上很火，但是关注点是围绕信息的，而不是如何利用威胁情报分析并从中获益。2017年，这个话题都是关于情境化、操作和综合威胁情报，从而我们看到像FlashPoint、Lookingglass、Record Future、ThreatConnect、ThreatQuotient等厂商推出了一系列创新的威胁情报平台和工具。我期待听到这些威胁情报厂商是如何致力于帮助组织机构解决新型业务风险问题，以及纯网络安全学科例如渗透测试、“狩猎”、事件响应等。

4、关于事件响应的持续热烈讨论。谈到事件响应，在过去的12个月中事件响应自动化和调度表现出显著的发展势头。此外，与我交流过的企业组织现在都愿意抛弃自己开发的软件，采用来自像FireEye、Hexadite、IBM（Resilient）、Phantom、ServiceNow和Siemplify的商用工具。我想了解事件响应自动化和调度的成熟情况。重点更多的是在自动化上还是调度上？企业组织应该从哪里开始做起？过程是如何的？在这个过程中人的角色是什么，这些角色是如何改变的？

5、关于机器学习的炒作和现实情况。我预测，人工智能和机器学习将是今年RSA大会上的热门话题。每个人都在谈论它，但是没有人能真正说清楚，让安全专业人员了解人工智能和机器学习能干什么、适合什么地方。

在我看来，机器学习应该被视为一个智能的防御层，可以实现某些特定分析行为的自动化并加速这些行为。换句话说，今天机器学习还有一些局限性，但是这并不意味着它在适当的用例中就一点用处都没有。有哪些用例？这就是我希望在今年RSA大会上探索的，像Darktrace、E8、Exabeam、Vectra、Securonix以及Sqrrl这些厂商。

6、服务、服务、服务。据ESG的研究，有45%的组织机构将在2017年遇到网络安全技能短缺的问题。这意味着有近一半的组织机构可能并没有他们自己的网络安全人员或者人才库来管理安全分析和操作。有哪些服务提供商填补这个空白？这是我希望在今年RSA大会上了解的。我知道现在有像BT、CSC、CrowdStrike、FireEye、Unisys、SecureWorks和赛门铁克都在服务领域做得不错，但是我希望进一步了解其中哪些厂商或者其他哪些安全网络厂商可以绷住组织机构解决安全分析和操作的各方面要求。

我即将前往RSA大会，迫切地希望了解更多关于安全分析和操作的现在和未来，不见不散！