Industria soluțiilor dedicate securității informațiilor/IT este plină de acronime sau „nume de scenă„ pentru optimizarea marketingului. Panaceele nu există!

Există percepția (dar și marketingul aferent) că soluțiile de tip SIEM sau User Behaviour (ca să dau doar două exemple) sînt soluții de tip „analytics„. În realitate sînt doar componente ale unei astfel de platforme. Din punctul meu de vedere orice soluție de tip stand-alone care nu este capabilă să pună datele în context și să „învețe„ nu este o „platformă de analiză„.

Să luăm ca exemplu SIEM-ul: se bazează pe reguli și politici create pentru evenimentele și informațiile colectate și agregate. Incidentul devine vizibil abia după ce apare alerta. Sînt SIEM-uri care oferă notificări și cînd apare ceva care nu se încadrează în „baseline„. Dar în acest moment nu avem prea multe facilități care să se încadreze ca „proactive„ pentru că așa sînt proiectate aceste soluții: să „interpreteze„ ceea ce știm.

Dar dacă a fost compromis un anumit cont? Sau un utilizator autorizat reușește să sustragă informații confidențiale/date personale? „User behaviour analytics„ poate fi soluția. Dar și „network analysis„….

Cea mai complexă mașină de analiză, deocamdată, este creierul uman: sîntem capabili să luăm date disparate și să le contextualizăm. Prin urmare, atunci cînd ne dorim o „platformă de analiză„ prima dată ar trebui să ne uităm la „datele noastre„ și ulterior la furnizorii de soluții: să știm ce date trebuie analizate/interpretate/contextualizate și ce probleme vrem să rezolvăm.

Și cum „security analytics„ este doar un concept (și un instrument de marketing) nu există o singură tehnologie și un singur furnizor (sau cel mai…)…