提升企業(yè)安全行動(dòng)力，AWS發(fā)布安全資料湖服務(wù)

為提升企業(yè)安全防御能力，AWS宣布推出安全資料湖服務(wù)（Amazon Security Lake），可自動(dòng)將客戶在云計(jì)算和本地的安全資料集中到客戶在AWS賬戶下專門構(gòu)建的資料湖中，方便客戶針對(duì)安全資料快速行動(dòng)。

隨著網(wǎng)絡(luò)攻擊越來(lái)越猖獗，企業(yè)安全防御需要有更高的曝光率，才能夠主動(dòng)辨別潛在威脅和漏洞，評(píng)估安全警示并作出相對(duì)回應(yīng)。為了確保這點(diǎn)，大多數(shù)企業(yè)依賴如應(yīng)用程序、防火墻、身份識(shí)別系統(tǒng)等不同來(lái)源的日志和事件資料，這些數(shù)據(jù)源可能來(lái)自云計(jì)算或企業(yè)本地，各自使用獨(dú)特、互不兼容的資料格式。

AWS說(shuō)明，為了獲得與安全有關(guān)的洞察，如發(fā)現(xiàn)未經(jīng)授權(quán)的敏感資訊對(duì)外傳輸，或辨別安裝在員工設(shè)備上的惡意軟件，企業(yè)必須先將所有資料匯集整理合將其規(guī)范為一致的格式。資料格式統(tǒng)一后，資料可識(shí)性提高，客戶就可以進(jìn)行分析、了解當(dāng)前的漏洞級(jí)別，并進(jìn)行威脅關(guān)聯(lián)和監(jiān)測(cè)。

不過(guò)，企業(yè)通常使用不同的安全解決方案來(lái)應(yīng)對(duì)如事件回應(yīng)和安全分析等特定場(chǎng)景，而因?yàn)槊總€(gè)解決方案都有自己的資料存儲(chǔ)和格式，也代表需要多次復(fù)制和處理相同的資料。如此一來(lái)不僅耗時(shí)且成本高昂，也降低安全團(tuán)隊(duì)檢測(cè)和回應(yīng)問(wèn)題的能力。

而當(dāng)客戶增加新的用戶、工具和數(shù)據(jù)源時(shí)，安全團(tuán)隊(duì)也必須耗時(shí)管理復(fù)雜的資料訪問(wèn)和安全性規(guī)則，以關(guān)注資料使用狀況并確保工作人員能夠獲得所需資訊。有些安全團(tuán)隊(duì)在資料湖中為所有安全資料創(chuàng)建集中存儲(chǔ)庫(kù)，但由于來(lái)自不同數(shù)據(jù)源的日志數(shù)據(jù)規(guī)模可能達(dá)到PB級(jí)，因此構(gòu)建這些系統(tǒng)需要專門的技能，并且可能要花費(fèi)長(zhǎng)達(dá)數(shù)月的時(shí)間。

為此，AWS推出Amazon Security Lake服務(wù)，可通過(guò)定制化資料生命周期管理資料保存設(shè)置，將傳入的安全資料轉(zhuǎn)換為高效的Apache Parquet格式；使資料符合開(kāi)放安全資料格式框架（Open Cybersecurity Schema Framework,OCSF）。

如此一來(lái)，對(duì)來(lái)自AWS的安全資料可更輕松地實(shí)現(xiàn)自動(dòng)標(biāo)準(zhǔn)化，以及與幾十個(gè)預(yù)先集成的第三方廠商企業(yè)安全部據(jù)源互相結(jié)合。安全分析師和工程師可以使用Amazon Security Lake匯集整理、管理和優(yōu)化大量截然不同的各類日志和事件資料，實(shí)現(xiàn)更快的威脅偵測(cè)、調(diào)查和事件回應(yīng)，高效、快速地解決潛在問(wèn)題，同時(shí)繼續(xù)使用他們偏好的分析工具。

AWS安全服務(wù)副總裁Jon Ramsey表示，企業(yè)客戶必須能快速檢測(cè)和回應(yīng)安全風(fēng)險(xiǎn)，才能迅速確保資料和網(wǎng)絡(luò)安全；但往往需要分析的資料通常橫跨多個(gè)數(shù)據(jù)源，且存儲(chǔ)格式各異。Amazon Security Lake讓企業(yè)能輕易集成來(lái)自幾十個(gè)數(shù)據(jù)源的日志和事件資料，將其規(guī)范以符合OCSF標(biāo)準(zhǔn)，便可廣泛使用安全工具快速采取行動(dòng)。