提升企業資安行動力，AWS 發表資安資料湖服務

為提升企業資安防禦能力，AWS 宣布推出資安資料湖服務（Amazon Security Lake），可自動將客戶在雲端和本地的資安資料集中到客戶在 AWS 帳戶下專門建構的資料湖中，方便客戶針對資安資料快速行動。

隨著網路攻擊愈來愈猖獗，企業資安防禦需要有更高的能見度，才能夠主動辨別潛在威脅和漏洞，評估資安警示並作出相對回應。為了確保這點，大多數企業依賴如應用程式、防火牆、身分辨識系統等不同來源的日誌和事件資料，這些資料來源可能來自雲端或企業本地，各自使用獨特、互不相容的資料格式。

AWS 說明，為了獲得與資安有關的洞察，如發現未經授權的敏感資訊對外傳輸，或辨別安裝在員工設備上的惡意軟體，企業必須先將所有資料彙整並將其規範為一致的格式。資料格式統一後，資料可識性提高，客戶就可以進行分析、瞭解當前的漏洞級別，並進行威脅關聯和監測。

不過，企業通常使用不同的資安解決方案來應對如事件回應和資安分析等特定情境，而因為每個解決方案都有自己的資料儲存和格式，也代表需要多次複製和處理相同的資料。如此一來不僅耗時且成本高昂，也降低資安團隊檢測和回應問題的能力。

而當客戶增加新的使用者、工具和資料來源時，資安團隊也必須費時管理複雜的資料存取和安全性規則，以追蹤資料使用狀況並確保工作人員能夠獲得所需資訊。有些資安團隊在資料湖中為所有資安資料創建集中儲存庫，但由於來自不同資料來源的日誌數據規模可能達到 PB 級，因此建構這些系統需要專門的技能，並且可能要花費長達數月的時間。

為此，AWS 推出 Amazon Security Lake 服務，可透過客製化資料生命週期管理資料保存設定，將傳入的資安資料轉換為高效的 Apache Parquet 格式；使資料符合開放資安資料格式框架（Open Cybersecurity Schema Framework，OCSF）。

如此一來，對來自 AWS 的資安資料可更輕鬆地實現自動標準化，以及與幾十個預先整合的第三方廠商企業資安資料來源互相結合。資安分析師和工程師可以使用 Amazon Security Lake 彙整、管理和優化大量截然不同的各類日誌和事件資料，實現更快的威脅偵測、調查和事件回應，高效、快速地解決潛在問題，同時繼續使用他們偏好的分析工具。

AWS 資安服務副總裁 Jon Ramsey 表示，企業客戶必須能快速檢測和回應資安風險，才能迅速確保資料和網路安全；但往往需要分析的資料通常橫跨多個資料來源，且儲存格式各異。Amazon Security Lake 讓企業能輕易整合來自幾十個資料來源的日誌和事件資料，將其規範以符合OCSF標準， 便可廣泛使用資安工具快速採取行動。

（首圖來源：Flickr/Tony Webster CC BY 2.0）