大數據安全不是炒作

技術趨勢

作者：李旭陽

“大數據”是當前IT領域的一個熱門概念。同早期人們對雲計算的態度一樣，大數據如今也在被人質疑說：這是不是一個虛無縹緲，甚至是被炒作的概念。對此，有分析師表達了自己的看法。Gartner公司副總裁Neil MacDonald認為，在信息安全領域，“大數據分析是真實的，而不是炒作。”

不斷增長的數據分析需求

MacDonald預測稱，到2016年，業界會有40%的企業（以銀行、保險、醫藥和國防行業為主）將積極地對至少10TB數據進行分析，以找出潛在危險的活動。這其中包括了網絡數據包捕捉、傳感器、各類交易信息、合規監控和威脅情報等各類數據。

實際上，現如今很多企業已經在利用SIEM（Security Information and Event Management，安全信息與事件管理）產品來進行企業內部的數據分析以解決信息安全問題。不過，MacDonald認為，很多現有的SIEM產品無法處理很大的工作量。“有些SIEM產品能夠處理大量原始交易數據，但卻無法提供實時情報信息。”

在這種情況下，近幾年來下一代SIEM的觀點應用而生。結合大數據技術，其主要在處理能力、智能化等方麵進行了革新。

與眾不同的下一代SIEM

Gartner認為，大數據技術的出現推動了SIEM產品的革新。邁克菲資深信息安全專家程智力在接受采訪時表示，下一代SIEM產品擁有三個非常顯著的特征。

更強的數據庫性能程智力認為，傳統SIEM產品大多采用了文件數據庫或者關係型數據庫。但是這兩種數據庫都有其問題所在。文件數據庫由於是將整個數據庫的內容保存在單個索引文件中，因此寫入速度很快。但是其結構決定了在進行大量查詢工作時能力很差。這一缺點已經為關係型數據庫所彌補，不過其在麵對海量數據時過慢的讀寫速度卻成了硬傷。針對於此，下一代SIEM產品進行了重新設計，采用專屬數據庫，可以支持多個寬泛列表，讀寫和查詢能力都有很大提高。

識別數據背景“傳統SIEM所能‘看到’的是時間、地點、目標、IP地址等基本元素，但是卻不能將這些元素組合進行關聯和分析。”程智力表示。換句話說，傳統的SIEM產品更多從事的是事件的收集工作和呈現，而很少去做數據深度的挖掘和關聯的操作。下一代的SIEM，則能夠識別更多的上下文信息和數據背景。這些背景信息包括目標主機的操作係統、風險狀況、用戶情況及物理位置，甚至用戶在進行操作時打開的程序和文檔內容等。

綜合動態分析在大數據環境下，僅僅隻顯示連接頻率以及變化的事件流分析模式已經不足以獲得對真實態勢的感知。下一代SIEM 的關注重點是在動態情景下，根據來源信譽、資產風險、應用程序和數據庫活動、曆史數據等，識別用戶行為變化並動態調節風險。在這一部分中，邁克菲特別還引入了其全球威脅智能感知係統GTI進行輔助。

McDonald認為，大數據推動的信息安全最終將演化為IT商業智能發展趨勢的一部分，即結合信息安全情報和IT業務數據，以提供更高水平的業務情報。“安全和業務數據相結合能夠帶來巨大的價值。”他表示，“因為隨著IT係統逐漸虛擬化，在安全和業務部門使用標準行為基線來發現異常行為將越來越普遍。此外，運營團隊將由此知曉，哪些才是對安全至關重要的數據。”