Una base di data storage per gli analytics di sicurezza

In che modo raccogli e archivi i dati per gli analytics di sicurezza?

La crescita vertiginosa dei dati non strutturati ha spinto a sviluppare nuove soluzioni per ottenere informazioni utili. Gli analytics di sicurezza consentono di reagire in modo proattivo e in tempo reale alle lacune e alle minacce alla sicurezza. Per ottenere analytics di sicurezza di livello enterprise servono data storage e modalità di accesso efficaci. Grazie all'accesso rapido e scalabile ai dati non strutturati moderni, i team delle operations di sicurezza possono migliorare l'analisi forense, il rilevamento delle anomalie, il monitoraggio degli eventi e altro ancora.

I dati non strutturati di log, eventi, pacchetti e flussi provengono da varie entità dell'infrastruttura IT, sia on-premise che off-premise. Alcune delle fonti:

• Applicazioni
• Infrastruttura (server, rete e storage)
• Macchine virtuali
• Containers
• Sistemi operativi
• Dispositivi di sicurezza
• Cloud

Le applicazioni generano anche una quantità crescente di dati sugli eventi che registrano le interazioni degli utenti. Le soluzioni leader di settore come quelle offerte da Splunk ed Elastic sono state efficaci nell'aiutare le organizzazioni a sfruttare i dati di log ed eventi per i casi d'uso degli analytics di sicurezza (SIEM).

Gli analytics di sicurezza presentano spesso requisiti impegnativi per la raccolta, la distribuzione e l'analisi dei dati di log ed eventi. La crescente necessità di rispondere alle minacce nel momento in cui si verificano richiede l'elaborazione dei dati in tempo reale. Una correlazione efficace e l'analisi delle minacce richiedono un'accurata acquisizione di dati dall'intero ambiente digitale e la capacità di mantenere un nutrito set di dati storici. I sistemi di dati devono anche essere resilienti per far fronte all'aumento dei dati e a un panorama in costante evoluzione di sistemi di inoltro dei dati e di rischi e minacce sempre presenti.

Rilevamento delle minacce in tempo reale

Gli analytics di sicurezza possono richiedere un'elevata quantità di dati, molti dei quali in tempo reale. Consentire analytics di sicurezza reattivi significa stare al passo con un'infrastruttura digitale in continua evoluzione. Grazie all'alta velocità di acquisizione dati che permette di registrare volumi elevati e in rapida crescita di dati di log, pacchetti, flussi ed eventi, puoi effettuare la diagnosi e l'analisi di una maggiore quantità di minacce. Le performance all-flash affidabili consentono di gestire query complesse e impegnative e l'elaborazione in tempo reale necessaria per ridurre il tempo medio di rilevamento (MTTD) e il tempo medio di correzione (MTTR) delle minacce alla sicurezza.

Contesto storico

Oltre all'analisi in tempo reale, è necessario avere accesso a volumi di dati storici per estendere le funzionalità di sicurezza chiave e applicare tecniche avanzate come il rilevamento delle anomalie e analytics del comportamento di utenti ed entità (UEBA). La facilità di recupero dei dati storici consente un'analisi a lungo termine delle minacce persistenti avanzate (APT) per identificare le potenziali origini dell'accesso non autorizzato e non rilevato alla tua proprietà intellettuale (IP) o ai dati personali e sanitari dei tuoi clienti (PII/PHI). Inoltre, semplifica l'analisi forense e la raccolta di prove nel malaugurato caso in cui dovessi rilevare attacchi o violazioni.

Puoi ottenere analytics veloci e su qualsiasi scala aggiungendo blade per incrementare le performance in modo coerente e lineare. Puoi conservare tutti i tuoi dati e mantenerli consultabili sfruttando la scalabilità elastica dei sistemi Pure Storage. Le ricerche complesse e le analisi forensi vengono semplificate grazie all'accesso più rapido a volumi elevati di dati storici per soddisfare una più ampia gamma di requisiti APT e discovery legale.

Una base resiliente e semplificata

Gli ambienti digitali in continua evoluzione creano nuove esigenze:

• È necessario un data storage resiliente per le modifiche pianificate e non pianificate.
• Lo storage deve essere in grado di aggiungere subito nuovi tipi di origini e deve essere scalabile per acquisire set di dati in rapida crescita.
• È necessario ridurre al minimo il downtime pianificato e non pianificato dovuto alla manutenzione per mantenere la disponibilità delle applicazioni di sicurezza.
• Gli aumenti di capacità richiedono una pianificazione proattiva per proteggere i dati essenziali.

L'architettura disaggregata di Pure separa le risorse di storage e di elaborazione per un deployment efficiente e agile delle risorse. Questo approccio massimizza il tempo di attività delle applicazioni con una scalabilità e una sostituzione non disruptive, riducendo le costose operazioni di ribilanciamento, ricostituzione e ricostruzione dei dati. Inoltre, Pure1 offre una previsione delle esigenze di capacità basata sull'AI, semplificando la pianificazione dei workload essenziali.