现在是安全部队接受安全数据湖泊的时候了

Dan Schoenbaum是一个双重首席执行官和一个网络安全的双重合唱团。今天，他是高潮顾问的管理合作伙伴，一家精品咨询公司帮助公司通过上市战略和执行取得更大的成功。

以下是安全操作的快速复述以及我们今天的位置：十年前，我们通过监视我们网络环境中发生的每个活动的日志 - 数字记录来保护我们的应用程序和网站，从登录到电子邮件到配置变化。日志被审核，提高了标志，调查了可疑活动，并为合规目的储存了数据。

由于恶意行为者和对手变得更加活跃，以及他们的策略，技术和程序（或TTP，安全解释）增长更复杂，简单的日志记录演变为称为“安全信息和事件管理”（SIEM）的方法，涉及使用软件提供应用程序和网络硬件生成的安全警报的实时分析。 SIEM软件使用规则驱动的相关性和分析，将原始事件数据转化为潜在的有价值的智能。

虽然它没有魔法子弹（实现并使一切正常具有挑战性），但能够找到所谓的“干草堆中的针头”并识别正在进行的攻击是一个巨大的前进。

如今，暹粒仍然存在，市场主要由Splunk和IBM QRadar领导。当然，该技术的提高了，因为新用例不断地出现。许多公司终于搬进了云本机部署，并利用机器学习和复杂的行为分析。然而，新的企业暹粒部署较少，成本更大，最重要的是 - CISO和SOC中的勤奋团队的总体需求发生了变化。

首先，数据已爆炸，暹粒太狭窄。仅仅是安全事件的收集不再足够，因为此数据集上的光圈太窄。虽然可能会从您的活动中捕获和处理大量的事件数据，但您缺少大量附加信息，例如索因（开源智能信息），消耗品外部威胁源和有价值的信息恶意软件和知识产权声名数据库，以及来自暗网络活动的报告。对于暹粒的日期建筑，有无穷无尽的情报来源。

此外，数据与成本一起爆炸。数据爆炸+硬件+许可成本=螺旋总体拥有成本。通过如此多的基础架构，物理和虚拟，被捕获的信息量都已爆炸。机器生成的数据已在50倍上生长，而平均安全预算同比增长14％。

存储所有这些信息的成本使SIEM成本禁止。 暹粒的平均成本飙升到每年达到100万美元，仅适用于许可证和硬件成本。 经济学强制团队在SOC中捕获和/或保留更少的信息，以试图保持支票成本。 这导致暹粒的有效性变得进一步减少。 我最近与一个想要查询欺诈证据的大型数据集的SoC团队发表讲话，但在Splunk这样做是经济高昂的，艰巨，艰巨的流程，导致团队探索替代品。 今天暹粒方法的缺点是危险和可怕的。 Ponemon Institute最近的一项调查调查了近600个IT安全领袖，发现，尽管平均每年支出1840万美元，但使用平均47份产品，IT安全领导者的呼啸不良“不知道他们的产品是否甚至不知道 在职的。” 显然是改变的时间。