为提升企业安全防御能力,AWS宣布推出安全资料湖服务(Amazon Security Lake),可自动将客户在云计算和本地的安全资料集中到客户在AWS账户下专门构建的资料湖中,方便客户针对安全资料快速行动。
随着网络攻击越来越猖獗,企业安全防御需要有更高的曝光率,才能够主动辨别潜在威胁和漏洞,评估安全警示并作出相对回应。为了确保这点,大多数企业依赖如应用程序、防火墙、身份识别系统等不同来源的日志和事件资料,这些数据源可能来自云计算或企业本地,各自使用独特、互不兼容的资料格式。
AWS说明,为了获得与安全有关的洞察,如发现未经授权的敏感资讯对外传输,或辨别安装在员工设备上的恶意软件,企业必须先将所有资料汇集整理合将其规范为一致的格式。资料格式统一后,资料可识性提高,客户就可以进行分析、了解当前的漏洞级别,并进行威胁关联和监测。
不过,企业通常使用不同的安全解决方案来应对如事件回应和安全分析等特定场景,而因为每个解决方案都有自己的资料存储和格式,也代表需要多次复制和处理相同的资料。如此一来不仅耗时且成本高昂,也降低安全团队检测和回应问题的能力。
而当客户增加新的用户、工具和数据源时,安全团队也必须耗时管理复杂的资料访问和安全性规则,以关注资料使用状况并确保工作人员能够获得所需资讯。有些安全团队在资料湖中为所有安全资料创建集中存储库,但由于来自不同数据源的日志数据规模可能达到PB级,因此构建这些系统需要专门的技能,并且可能要花费长达数月的时间。
为此,AWS推出Amazon Security Lake服务,可通过定制化资料生命周期管理资料保存设置,将传入的安全资料转换为高效的Apache Parquet格式;使资料符合开放安全资料格式框架(Open Cybersecurity Schema Framework, OCSF)。
如此一来,对来自AWS的安全资料可更轻松地实现自动标准化,以及与几十个预先集成的第三方厂商企业安全部据源互相结合。安全分析师和工程师可以使用Amazon Security Lake汇集整理、管理和优化大量截然不同的各类日志和事件资料,实现更快的威胁侦测、调查和事件回应,高效、快速地解决潜在问题,同时继续使用他们偏好的分析工具。
AWS安全服务副总裁Jon Ramsey表示,企业客户必须能快速检测和回应安全风险,才能迅速确保资料和网络安全;但往往需要分析的资料通常横跨多个数据源,且存储格式各异。Amazon Security Lake让企业能轻易集成来自几十个数据源的日志和事件资料,将其规范以符合OCSF标准, 便可广泛使用安全工具快速采取行动。
(首图来源:Flickr/Tony WebsterCC By 2.0)