大數(shù)據(jù)安全不是炒作

“大數(shù)據(jù)”是當(dāng)前IT領(lǐng)域的一個(gè)熱門概念。同早期人們對(duì)云計(jì)算的態(tài)度一樣，大數(shù)據(jù)如今也在被人質(zhì)疑說：這是不是一個(gè)虛無縹緲，甚至是被炒作的概念。對(duì)此，有分析師表達(dá)了自己的看法。Gartner公司副總裁Neil MacDonald認(rèn)為，在信息安全領(lǐng)域，“大數(shù)據(jù)分析是真實(shí)的，而不是炒作。”

不斷增長(zhǎng)的數(shù)據(jù)分析需求

MacDonald預(yù)測(cè)稱，到2016年，業(yè)界會(huì)有40%的企業(yè)（以銀行、保險(xiǎn)、醫(yī)藥和國(guó)防行業(yè)為主）將積極地對(duì)至少10TB數(shù)據(jù)進(jìn)行分析，以找出潛在危險(xiǎn)的活動(dòng)。這其中包括了網(wǎng)絡(luò)數(shù)據(jù)包捕捉、傳感器、各類交易信息、合規(guī)監(jiān)控和威脅情報(bào)等各類數(shù)據(jù)。

實(shí)際上，現(xiàn)如今很多企業(yè)已經(jīng)在利用SIEM（Security Information and Event Management，安全信息與事件管理）產(chǎn)品來進(jìn)行企業(yè)內(nèi)部的數(shù)據(jù)分析以解決信息安全問題。不過，MacDonald認(rèn)為，很多現(xiàn)有的SIEM產(chǎn)品無法處理很大的工作量。“有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù)，但卻無法提供實(shí)時(shí)情報(bào)信息。”

在這種情況下，近幾年來下一代SIEM的觀點(diǎn)應(yīng)用而生。結(jié)合大數(shù)據(jù)技術(shù)，其主要在處理能力、智能化等方面進(jìn)行了革新。

與眾不同的下一代SIEM

Gartner認(rèn)為，大數(shù)據(jù)技術(shù)的出現(xiàn)推動(dòng)了SIEM產(chǎn)品的革新。邁克菲資深信息安全專家程智力在接受采訪時(shí)表示，下一代SIEM產(chǎn)品擁有三個(gè)非常顯著的特征。

更強(qiáng)的數(shù)據(jù)庫性能 程智力認(rèn)為，傳統(tǒng)SIEM產(chǎn)品大多采用了文件數(shù)據(jù)庫或者關(guān)系型數(shù)據(jù)庫。但是這兩種數(shù)據(jù)庫都有其問題所在。文件數(shù)據(jù)庫由于是將整個(gè)數(shù)據(jù)庫的內(nèi)容保存在單個(gè)索引文件中，因此寫入速度很快。但是其結(jié)構(gòu)決定了在進(jìn)行大量查詢工作時(shí)能力很差。這一缺點(diǎn)已經(jīng)為關(guān)系型數(shù)據(jù)庫所彌補(bǔ)，不過其在面對(duì)海量數(shù)據(jù)時(shí)過慢的讀寫速度卻成了硬傷。針對(duì)于此，下一代SIEM產(chǎn)品進(jìn)行了重新設(shè)計(jì)，采用專屬數(shù)據(jù)庫，可以支持多個(gè)寬泛列表，讀寫和查詢能力都有很大提高。

識(shí)別數(shù)據(jù)背景 “傳統(tǒng)SIEM所能‘看到’的是時(shí)間、地點(diǎn)、目標(biāo)、IP地址等基本元素，但是卻不能將這些元素組合進(jìn)行關(guān)聯(lián)和分析。”程智力表示。換句話說，傳統(tǒng)的SIEM產(chǎn)品更多從事的是事件的收集工作和呈現(xiàn)，而很少去做數(shù)據(jù)深度的挖掘和關(guān)聯(lián)的操作。下一代的SIEM，則能夠識(shí)別更多的上下文信息和數(shù)據(jù)背景。這些背景信息包括目標(biāo)主機(jī)的操作系統(tǒng)、風(fēng)險(xiǎn)狀況、用戶情況及物理位置，甚至用戶在進(jìn)行操作時(shí)打開的程序和文檔內(nèi)容等。

綜合動(dòng)態(tài)分析 在大數(shù)據(jù)環(huán)境下，僅僅只顯示連接頻率以及變化的事件流分析模式已經(jīng)不足以獲得對(duì)真實(shí)態(tài)勢(shì)的感知。下一代SIEM 的關(guān)注重點(diǎn)是在動(dòng)態(tài)情景下，根據(jù)來源信譽(yù)、資產(chǎn)風(fēng)險(xiǎn)、應(yīng)用程序和數(shù)據(jù)庫活動(dòng)、歷史數(shù)據(jù)等，識(shí)別用戶行為變化并動(dòng)態(tài)調(diào)節(jié)風(fēng)險(xiǎn)。在這一部分中，邁克菲特別還引入了其全球威脅智能感知系統(tǒng)GTI進(jìn)行輔助。

McDonald認(rèn)為，大數(shù)據(jù)推動(dòng)的信息安全最終將演化為IT商業(yè)智能發(fā)展趨勢(shì)的一部分，即結(jié)合信息安全情報(bào)和IT業(yè)務(wù)數(shù)據(jù)，以提供更高水平的業(yè)務(wù)情報(bào)。“安全和業(yè)務(wù)數(shù)據(jù)相結(jié)合能夠帶來巨大的價(jià)值。”他表示，“因?yàn)殡S著IT系統(tǒng)逐漸虛擬化，在安全和業(yè)務(wù)部門使用標(biāo)準(zhǔn)行為基線來發(fā)現(xiàn)異常行為將越來越普遍。此外，運(yùn)營(yíng)團(tuán)隊(duì)將由此知曉，哪些才是對(duì)安全至關(guān)重要的數(shù)據(jù)。”