大数据让数据防护“未卜先知”

　　2013年的安全市场注定会与大数据脱不开干系。2月底，惠普宣布，其将HP ArcSight的安全信息与事件管理（SIEM）功能与HP Autonomy IDOL内容分析引擎进行整合。几乎在同一时间，RSA也拿出了自己的安全平台和身份认证管理器产品。而在此前，IBM已经开始将数据分析系统拓展到安全市场。除此之外，迈克菲、赛门铁克等安全厂商也将要推出或者正在研发相关应用和解决方案。

　　事前预防而不是亡羊补牢

　　什么是大数据与信息安全的结合？

　　近段时间网络上流传着一个非常有意思的事件。美国一家公司某天突然发现，他们的一位高级工程师员工经常在美国时间半夜通过中国IP登录到公司的内网，并进行存取资料、收邮件等操作。经过调查，原来这位高级工程师从公司付给他的高额工资中拿出一部分，将自己的工作“外包”给了大洋彼岸的中国团队。而这位工程师每天自己上班所做的就是上网聊天、购物而已。

　　这家公司的安全措施不可谓不周全。实际上，其已经向每位员工发放了动态令牌，以阻止未经授权访问公司资料的行为。然而百密一疏，这名雇员将本应该专人专用的动态令牌快递给了其雇佣的团队，这使得原本非法的访问看上去毫无破绽。

　　这种“精明”的做法持续了很长一段时间。直到这家公司部署了惠普的ArcSight后，通过对日志、数据记录的整理、分析，才终于让真相水落石出。

　　这一事件完整体现了SEIM产品在实际应用中的作用。然而，从这个案例中我们也可以发现，即使SEIM能够发现任何关于信息安全的蛛丝马迹，后续的调查依然需要人力去进行调查。换句话说，安全管理工具智能光寻找到一个非正常的IP地址访问，但是却不能明确地告诉管理员这个访问背后可能存在的问题。对于很多没有信息安全预案和流程的公司而言，即使发现了问题也不知道如何处理，或者所发现的问题并没有受到足够重视。

　　而将SEIM与大数据结合后，企业对信息管理的精度更可以超乎人们的想象。比如，企业可以在法律允许的范围内对员工在社交网络上发布的内容进行审查，当发现员工有不满情绪或者辞职倾向时时，进行语义分析判断是否具有安全或者数据泄露威胁。这些内容可以是文字，也可以是图片甚至音视频。

　　换句话说，在与数据分析和数据挖掘技术结合后，安全系统将能够自动识别用户与各类数据进行交互的环境、概念、情绪和使用模式，并实施相应的措施。比如，公司的某个员工上班时间在微博上发布了一条消息，表达了对公司的不满并且萌生去意。公司的大数据分析系统捕获了这条消息并进行语义分析，判断出这名员工可能会做出一些不利于公司信息安全的举动，进而将该名员工访问内部资料的权限锁死或者降级。

　　这种事前防护，同传统意义上信息安全只是在安全问题发生后修补漏洞的概念完全不同。

　　信息安全领域的“少数派报告”

　　这样看来，曾经在存储市场上着实风靡了一把的大数据浪潮，如今已经席卷到了安全业界。通过对信息数据的收集、提炼和分析，企业完全可以在安全事件发生前尽可能做好数据保护措施，降低风险。

　　这听起来非常像2002年史蒂文·斯皮尔伯格导演，汤姆·克鲁斯主演的电影《少数派报告》里的情节。电影中所描绘的世界，不再面临大规模的犯罪，这是因为未来是可以预知的，这样一来，罪犯在实施犯罪前就已受到了惩罚。犯罪场景会被“先知”预先演示给警察，并由警察们提前阻止犯罪。从间接的意象到时间、地点和其它的细节，这些证据都会由“先知”负责解析映像出来。

　　RSA在2013年公布的一份白皮书显示，预计未来两年内大数据将会打破目前大部分的信息安全产品格局，这些产品涵盖SEIM、网络检测、用户认证和授权、身份管理、钓鱼监测、合规等。而在接下来的2~5年内，数据分析工具将会有很大革新，将会诞生出一批更先进的感知功能以及自动化的实时操作方式。

　　毫无疑问，大数据将有可能改变信息安全市场的格局。目前包括惠普、IBM、RSA等多家厂商已经实现了信息安全、分布式文件系统、数据分析引擎三者的整合。来自惠普的消息称，其已经将HP ArcSight的报告、搜索和关联功能，与Apache Hadoop大型、集中存储库进行结合，能够为企业提供处理PB级信息存储容量，并整合HP Arcsight和Autonomy IDOL，实现基于含义/情景的分析。

　　在与大数据应用结合的同时，惠普还宣布成立惠普安全研究（HPSR）机构。这一机构将负责惠普的安全研究进程，包括有专注于漏洞发现和分析的HP DVLabs，以及致力于开发软件安全实践的惠普Fortify软件安全研究所（HP Fortify Software Security Research）。HPSR还将管理零日攻击防御计划（Zero Day Initiative (ZDI)），该计划能识别可导致网络攻击和安全漏洞的软件缺陷。

　　“安全是惠普的三大战略之一。”惠普公司企业安全产品部北亚区总经理姚翔表示，“将大数据、数据信息优化与信息安全相结合，将会是未来惠普重点的推广方向。”

　　除了这些IT大厂外，在安全市场上，还簇拥着一大批你可能闻所未闻地初创公司，比如像RedLambda、PacketLoop、ZettaSet、Sumo Logic等，而他们所瞄准的无一例外，都是大数据分析领域。思科在网络安全方面的号召力尽管已经不如以往，不过这个老牌巨头对安全趋势的嗅觉依然敏锐。其日前就收购了一家利用人工智能技术对实时数据进行行为分析的安全企业Cognitive Security。在国内市场上，尽管还少有听闻有厂商在这一领域推出了相关产品，不过像山石网科等企业已经开始关注起这一领域的一些变化。

　　毫不夸张的说，大数据从来都只是一个营销概念。我们可以对这个已经被说烂了的名词嗤之以鼻，但是，却不能对其所蕴含的数据再利用这样一个核心价值掉以轻心。更何况大数据与安全解决方案如今已经开始被广泛地采用。据了解，目前国内一些外企特别是IT企业已经如上文所描述的一样，开始使用大数据来对员工的网络行为进行分析和管理。

　　本报记者 李旭阳