"Эта система позволяет начать использование разных типов событий вокруг организации, таких как шаблоны поведения в сети", - сказал Престон Вуд, начальник службы безопасности Zions, обсуждая как банковская компания из Солт-Лейк-Сити настроила свою аналитику добычи данных для осуществления безопасности.
Основополагающий инструмент Zions, Zettaset Security Data Warehouse, основанный на фреймворке Hadoop с открытым кодом, предназначен для приложений, использующих большой объем данных. Вуд сказал, что для него это большой шанс, потому что система основывается на создании решений безопасности, базируясь на бизнес-аналитике и комбинируя ее с данными, полученными с помощью устройств безопасности.
Сегодня анализ безопасности чаще всего базируется на информации о безопасности и управлении событиями (SIEM), которые способны объединять информацию безопасности и другую техническую информацию и позволяют с "высоты птичьего полета" взглянуть на сетевую активность и распознать возможные несанкционированные действия. Вуд говорит, что само по себе это не плохо, но на данный момент есть возможность пойти дальше подключив бизнес деятельность, основываясь на данных из других источников.
"Этот метод не заменяет традиционные SIEM, а лишь дополняет их", - сказал Вуд в ходе разговора о том, как хранилище было введено в использование в Zions.
У SIEM могут возникнуть проблемы при работе с большим объемом исторических данных, но с использованием фреймворка Hadoop с ядром, которое способно справляться "с терабайтами, даже петабайтами информации", стало возможным проводить более качественный анализ путем комбинирования бизнес-данных и данных безопасности. "SIEM, таким образом, становится основным источником для Security Data Warehouse. Как результат – улучшенный исторический анализ", - добавил он.
По словам Вуда, у Zions "в отделе безопасности есть аналитики, принимающие решения на основе полученных данных". Это позволяет делать прогнозы и замечать аномалии. Также увеличивается роль системы в понимании сделок с клиентами и их поведения в целях безопасности.
Вуд также выразил убеждение в том, что подход с использованием Security Data Warehouse облегчает процесс выявления фишинг-атак благодаря анализу электронной почты и других событий, и позволяет реагировать быстрее, чем раньше.
