大数据安全不是炒作

“大数据”是当前IT领域的一个热门概念。同早期人们对云计算的态度一样，大数据如今也在被人质疑说：这是不是一个虚无缥缈，甚至是被炒作的概念。对此，有分析师表达了自己的看法。Gartner公司副总裁Neil MacDonald认为，在信息安全领域，“大数据分析是真实的，而不是炒作。”

不断增长的数据分析需求

MacDonald预测称，到2016年，业界会有40%的企业（以银行、保险、医药和国防行业为主）将积极地对至少10TB数据进行分析，以找出潜在危险的活动。这其中包括了网络数据包捕捉、传感器、各类交易信息、合规监控和威胁情报等各类数据。

实际上，现如今很多企业已经在利用SIEM（Security Information and Event Management，安全信息与事件管理）产品来进行企业内部的数据分析以解决信息安全问题。不过，MacDonald认为，很多现有的SIEM产品无法处理很大的工作量。“有些SIEM产品能够处理大量原始交易数据，但却无法提供实时情报信息。”

在这种情况下，近几年来下一代SIEM的观点应用而生。结合大数据技术，其主要在处理能力、智能化等方面进行了革新。

与众不同的下一代SIEM

Gartner认为，大数据技术的出现推动了SIEM产品的革新。迈克菲资深信息安全专家程智力在接受采访时表示，下一代SIEM产品拥有三个非常显著的特征。

更强的数据库性能 程智力认为，传统SIEM产品大多采用了文件数据库或者关系型数据库。但是这两种数据库都有其问题所在。文件数据库由于是将整个数据库的内容保存在单个索引文件中，因此写入速度很快。但是其结构决定了在进行大量查询工作时能力很差。这一缺点已经为关系型数据库所弥补，不过其在面对海量数据时过慢的读写速度却成了硬伤。针对于此，下一代SIEM产品进行了重新设计，采用专属数据库，可以支持多个宽泛列表，读写和查询能力都有很大提高。

识别数据背景 “传统SIEM所能‘看到’的是时间、地点、目标、IP地址等基本元素，但是却不能将这些元素组合进行关联和分析。”程智力表示。换句话说，传统的SIEM产品更多从事的是事件的收集工作和呈现，而很少去做数据深度的挖掘和关联的操作。下一代的SIEM，则能够识别更多的上下文信息和数据背景。这些背景信息包括目标主机的操作系统、风险状况、用户情况及物理位置，甚至用户在进行操作时打开的程序和文档内容等。

综合动态分析 在大数据环境下，仅仅只显示连接频率以及变化的事件流分析模式已经不足以获得对真实态势的感知。下一代SIEM 的关注重点是在动态情景下，根据来源信誉、资产风险、应用程序和数据库活动、历史数据等，识别用户行为变化并动态调节风险。在这一部分中，迈克菲特别还引入了其全球威胁智能感知系统GTI进行辅助。

McDonald认为，大数据推动的信息安全最终将演化为IT商业智能发展趋势的一部分，即结合信息安全情报和IT业务数据，以提供更高水平的业务情报。“安全和业务数据相结合能够带来巨大的价值。”他表示，“因为随着IT系统逐渐虚拟化，在安全和业务部门使用标准行为基线来发现异常行为将越来越普遍。此外，运营团队将由此知晓，哪些才是对安全至关重要的数据。”

关注读览天下微信， 100万篇深度好文， 等你来看……