邁克菲：大數(shù)據(jù)處理能力是SIEM的核心

　　大數(shù)據(jù)時(shí)代，安全需主動(dòng)

　　現(xiàn)在，每一秒都有一個(gè)惡意軟件新樣本產(chǎn)生，高達(dá)83%的企業(yè)遭受過(guò)高級(jí)持續(xù)威脅的攻擊…大數(shù)據(jù)不僅僅是客戶所面臨的挑戰(zhàn)，對(duì)安全產(chǎn)品供應(yīng)商也同樣。如果說(shuō)，風(fēng)險(xiǎn)等于威脅乘以資產(chǎn)再乘以漏洞，那么大數(shù)據(jù)時(shí)代，風(fēng)險(xiǎn)正變得更加諱深莫測(cè)。

　　2013年是企業(yè)大規(guī)模采用大數(shù)據(jù)技術(shù)的一年，Gartner發(fā)布的相關(guān)報(bào)告顯示，42%的IT主管表示其所在的企業(yè)已經(jīng)投資大數(shù)據(jù)技術(shù)或者將在一年內(nèi)進(jìn)行相關(guān)投資。從海量的低價(jià)值密度的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)中獲取有價(jià)值的信息，顯然已經(jīng)成為企業(yè)IT收益的重要組成部分。與此同時(shí)，還沒(méi)結(jié)束的2013年已經(jīng)被人們扣上了“網(wǎng)絡(luò)安全漏洞之年”的帽子。邁克菲全球消費(fèi)市場(chǎng)副總裁Gary Davis在一篇博客文章中寫(xiě)道，截至到今年8月份，大量的網(wǎng)絡(luò)攻擊事件讓眾多企業(yè)，特別是金融機(jī)構(gòu)損失高達(dá)數(shù)百萬(wàn)美元。從以報(bào)復(fù)為目的的“黑客行為”到非法信用卡詐騙，網(wǎng)絡(luò)詐騙可謂無(wú)所不用其極。

　　對(duì)于大數(shù)據(jù)來(lái)講，重點(diǎn)不是數(shù)據(jù)，而是應(yīng)該如何處理這些數(shù)據(jù)——對(duì)這些數(shù)據(jù)進(jìn)行分析獲取所需要的情報(bào)信息，Gartner發(fā)布的這一言論同樣被廣泛認(rèn)同。事實(shí)上，SIEM (安全信息和事件管理)本身就是為了應(yīng)對(duì)數(shù)據(jù)處理能力不足這一根本問(wèn)題。邁克菲副總裁兼亞太區(qū)首席技術(shù)官M(fèi)ichael Sentonas早些時(shí)候接受記者專訪時(shí)也曾表示：“SIEM是智能安全系統(tǒng)中非常重要的領(lǐng)域。邁克菲的SIEM產(chǎn)品可將其全球威脅智能感知系統(tǒng)與應(yīng)用、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等其他渠道信息進(jìn)行整合，對(duì)安全數(shù)據(jù)進(jìn)行實(shí)時(shí)分析。此外，IPS、防火墻等技術(shù)也被融入SIEM解決方案中。”以SIEM為平臺(tái)的整合解決方案對(duì)不同攻擊具有更高的可視度，讓安全防護(hù)更加主動(dòng)。

　　實(shí)時(shí)分析的強(qiáng)大性滲透整個(gè)網(wǎng)絡(luò)

　　一些具有安全意識(shí)的行業(yè)，例如大型金融服務(wù)機(jī)構(gòu)和政府機(jī)構(gòu)早在初期已經(jīng)采用 SIEM，但直到 2005 年左右，薩班斯-奧克斯利法案 (Sarbanes Oxley) 審計(jì)通過(guò)之后才得到廣泛應(yīng)用并建立有效市場(chǎng)。合規(guī)審計(jì)不僅擴(kuò)大了 SIEM 的應(yīng)用規(guī)模，還衍生了大量其他安全設(shè)備并提升了日志記錄水平。邁克菲亞太區(qū)SIEM解決方案實(shí)踐經(jīng)理 Mason Hooper表示，對(duì)于今天的安全威脅環(huán)境來(lái)說(shuō)，傳統(tǒng)的SIEM產(chǎn)品更多的只是關(guān)注日志并對(duì)其進(jìn)行收集和分析，這顯然是不夠的。而是要實(shí)時(shí)掌控整個(gè)網(wǎng)絡(luò)的異常情況，還需要關(guān)注應(yīng)用層的安全。

　　從眾多的報(bào)道中，我們能夠看到一些機(jī)構(gòu)組織在已經(jīng)通過(guò)了據(jù)稱基于嚴(yán)格合規(guī)標(biāo)準(zhǔn)的安全審計(jì)以后，仍然發(fā)生了災(zāi)難性的數(shù)據(jù)泄露， IT 安全防護(hù)亟需從按章照抄式的合規(guī)發(fā)展為覆蓋外圍、內(nèi)部、數(shù)據(jù)和系統(tǒng)安全防護(hù)的全方位安全計(jì)劃。為應(yīng)對(duì)這些不斷增加的安全控制手段，可謂是極富創(chuàng)新性和韌性的攻擊者們同樣提高了攻擊方法的復(fù)雜度，因此，邁克菲認(rèn)為SIEM 需要檢測(cè)緩慢攻擊，快速檢測(cè)事件流異常，并獲取相關(guān)的數(shù)據(jù)、應(yīng)用程序和數(shù)據(jù)庫(kù)上下文信息。而大數(shù)據(jù)包含的數(shù)據(jù)集規(guī)模過(guò)于龐大，擁有強(qiáng)大的數(shù)據(jù)分析能力的SIEM解決方案才得以勝任。

　　關(guān)系數(shù)據(jù)可擴(kuò)展性。由于事件數(shù)據(jù)量持續(xù)成倍增加，攻擊復(fù)雜度也越來(lái)越高，通過(guò)有關(guān)來(lái)源、資產(chǎn)、用戶和數(shù)據(jù)智能態(tài)勢(shì)感知的關(guān)系數(shù)據(jù)豐富事件數(shù)據(jù)將變得十分關(guān)鍵。另外，還需要在數(shù)據(jù)庫(kù)架構(gòu)中提供這類信息與事件流之間的實(shí)時(shí)關(guān)聯(lián)。雖然許多 SIEM 都具有這些功能，但由于數(shù)據(jù)庫(kù)端的表限制，極少有 SIEM 能夠支持多個(gè)寬泛列表。同時(shí)，為避免分析性能下降，當(dāng)用戶請(qǐng)求獲取信息時(shí)，許多 SIEM只是簡(jiǎn)單查找此信息，而不會(huì)進(jìn)行實(shí)時(shí)關(guān)聯(lián)和呈現(xiàn)。邁克菲的SIEM 解決方案可以運(yùn)用此類信息智能地創(chuàng)建準(zhǔn)確、實(shí)時(shí)的風(fēng)險(xiǎn)分析圖。

　　動(dòng)態(tài)分析。大數(shù)據(jù)環(huán)境下，僅僅是簡(jiǎn)單的事件流分析(只顯示連接頻率以及是否發(fā)生變化)已經(jīng)不足以獲得對(duì)真實(shí)態(tài)勢(shì)的感知。當(dāng)今的 SIEM 需要?jiǎng)討B(tài)情景，從而根據(jù)來(lái)源信譽(yù)、資產(chǎn)風(fēng)險(xiǎn)以及與之相關(guān)的數(shù)據(jù)、應(yīng)用程序和數(shù)據(jù)庫(kù)活動(dòng)，識(shí)別用戶行為變化并動(dòng)態(tài)調(diào)節(jié)風(fēng)險(xiǎn)。動(dòng)態(tài)分析是緩慢攻擊檢測(cè)的重要組成部分，大數(shù)據(jù)安全SIEM 架構(gòu)需要適應(yīng)這種情況。

　　歷史數(shù)據(jù)分析。攻擊檢測(cè)和有效事件響應(yīng)的另一個(gè)重要方面是能夠分析歷史事件數(shù)據(jù)。鑒于當(dāng)今的攻擊方法，邁克菲SIEM 解決方案能夠訪問(wèn)數(shù)年的數(shù)據(jù)，從而快速定位模式和異常，同時(shí)在不影響性能的前提下開(kāi)展實(shí)時(shí)分析。同時(shí)還能夠與存儲(chǔ)系統(tǒng)輕松集成并有效存儲(chǔ)事件數(shù)據(jù)，以避免使用大量存儲(chǔ)設(shè)備及產(chǎn)生巨額成本，其創(chuàng)新的架構(gòu)可以支持頻繁地同時(shí)使用實(shí)時(shí)功能和歷史功能。

　　事件暴增。當(dāng)發(fā)生事件數(shù)據(jù)增長(zhǎng)超出預(yù)期峰值限制時(shí)，分析人員能否確定這種事件量增長(zhǎng)是否由主動(dòng)攻擊引起將至關(guān)重要。專為大數(shù)據(jù)安全構(gòu)建的邁克菲SIEM 不僅能夠處理這些暴增情景，而且還能夠?qū)⑦@些暴增情形納入許可方案。相反，那些不了解這一問(wèn)題的 SIEM 將會(huì)在超出每秒事件量 (EPS) 限制時(shí)丟棄事件或阻止分析人員訪問(wèn)控制臺(tái)，在最關(guān)鍵的時(shí)刻禁止安全團(tuán)隊(duì)訪問(wèn)他們的主要態(tài)勢(shì)感知工具。

　　大數(shù)據(jù)不僅對(duì)于機(jī)構(gòu)是一項(xiàng)嚴(yán)峻挑戰(zhàn)，對(duì)于安全團(tuán)隊(duì)同樣提出了更高要求。過(guò)去，對(duì)于加強(qiáng)安全性的迫切需求一直驅(qū)使人們收集分析越來(lái)越多的事件和安全數(shù)據(jù)。隨著安全數(shù)據(jù)量的不斷上升，傳統(tǒng)的SIEM產(chǎn)品更多的只是關(guān)注日志，對(duì)其進(jìn)行收集和分析。對(duì)于今天的安全威脅環(huán)境來(lái)說(shuō)，傳統(tǒng)的SIEM功能顯然是不夠的。只有與大數(shù)據(jù)分析相結(jié)合，形成從數(shù)據(jù)收集分析到快速完成安全管理策略建議，這才是SIEM真正需要做的。