邁克菲:大數(shù)據(jù)處理能力是SIEM的核心
大數(shù)據(jù)時代,安全需主動
本文引用地址:http://butianyuan.cn/article/169742.htm現(xiàn)在,每一秒都有一個惡意軟件新樣本產(chǎn)生,高達83%的企業(yè)遭受過高級持續(xù)威脅的攻擊…大數(shù)據(jù)不僅僅是客戶所面臨的挑戰(zhàn),對安全產(chǎn)品供應商也同樣。如果說,風險等于威脅乘以資產(chǎn)再乘以漏洞,那么大數(shù)據(jù)時代,風險正變得更加諱深莫測。
2013年是企業(yè)大規(guī)模采用大數(shù)據(jù)技術(shù)的一年,Gartner發(fā)布的相關(guān)報告顯示,42%的IT主管表示其所在的企業(yè)已經(jīng)投資大數(shù)據(jù)技術(shù)或者將在一年內(nèi)進行相關(guān)投資。從海量的低價值密度的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)中獲取有價值的信息,顯然已經(jīng)成為企業(yè)IT收益的重要組成部分。與此同時,還沒結(jié)束的2013年已經(jīng)被人們扣上了“網(wǎng)絡(luò)安全漏洞之年”的帽子。邁克菲全球消費市場副總裁Gary Davis在一篇博客文章中寫道,截至到今年8月份,大量的網(wǎng)絡(luò)攻擊事件讓眾多企業(yè),特別是金融機構(gòu)損失高達數(shù)百萬美元。從以報復為目的的“黑客行為”到非法信用卡詐騙,網(wǎng)絡(luò)詐騙可謂無所不用其極。
對于大數(shù)據(jù)來講,重點不是數(shù)據(jù),而是應該如何處理這些數(shù)據(jù)——對這些數(shù)據(jù)進行分析獲取所需要的情報信息,Gartner發(fā)布的這一言論同樣被廣泛認同。事實上,SIEM (安全信息和事件管理)本身就是為了應對數(shù)據(jù)處理能力不足這一根本問題。邁克菲副總裁兼亞太區(qū)首席技術(shù)官Michael Sentonas早些時候接受記者專訪時也曾表示:“SIEM是智能安全系統(tǒng)中非常重要的領(lǐng)域。邁克菲的SIEM產(chǎn)品可將其全球威脅智能感知系統(tǒng)與應用、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫等其他渠道信息進行整合,對安全數(shù)據(jù)進行實時分析。此外,IPS、防火墻等技術(shù)也被融入SIEM解決方案中。”以SIEM為平臺的整合解決方案對不同攻擊具有更高的可視度,讓安全防護更加主動。
實時分析的強大性滲透整個網(wǎng)絡(luò)
一些具有安全意識的行業(yè),例如大型金融服務機構(gòu)和政府機構(gòu)早在初期已經(jīng)采用 SIEM,但直到 2005 年左右,薩班斯-奧克斯利法案 (Sarbanes Oxley) 審計通過之后才得到廣泛應用并建立有效市場。合規(guī)審計不僅擴大了 SIEM 的應用規(guī)模,還衍生了大量其他安全設(shè)備并提升了日志記錄水平。邁克菲亞太區(qū)SIEM解決方案實踐經(jīng)理 Mason Hooper表示,對于今天的安全威脅環(huán)境來說,傳統(tǒng)的SIEM產(chǎn)品更多的只是關(guān)注日志并對其進行收集和分析,這顯然是不夠的。而是要實時掌控整個網(wǎng)絡(luò)的異常情況,還需要關(guān)注應用層的安全。
從眾多的報道中,我們能夠看到一些機構(gòu)組織在已經(jīng)通過了據(jù)稱基于嚴格合規(guī)標準的安全審計以后,仍然發(fā)生了災難性的數(shù)據(jù)泄露, IT 安全防護亟需從按章照抄式的合規(guī)發(fā)展為覆蓋外圍、內(nèi)部、數(shù)據(jù)和系統(tǒng)安全防護的全方位安全計劃。為應對這些不斷增加的安全控制手段,可謂是極富創(chuàng)新性和韌性的攻擊者們同樣提高了攻擊方法的復雜度,因此,邁克菲認為SIEM 需要檢測緩慢攻擊,快速檢測事件流異常,并獲取相關(guān)的數(shù)據(jù)、應用程序和數(shù)據(jù)庫上下文信息。而大數(shù)據(jù)包含的數(shù)據(jù)集規(guī)模過于龐大,擁有強大的數(shù)據(jù)分析能力的SIEM解決方案才得以勝任。
關(guān)系數(shù)據(jù)可擴展性。由于事件數(shù)據(jù)量持續(xù)成倍增加,攻擊復雜度也越來越高,通過有關(guān)來源、資產(chǎn)、用戶和數(shù)據(jù)智能態(tài)勢感知的關(guān)系數(shù)據(jù)豐富事件數(shù)據(jù)將變得十分關(guān)鍵。另外,還需要在數(shù)據(jù)庫架構(gòu)中提供這類信息與事件流之間的實時關(guān)聯(lián)。雖然許多 SIEM 都具有這些功能,但由于數(shù)據(jù)庫端的表限制,極少有 SIEM 能夠支持多個寬泛列表。同時,為避免分析性能下降,當用戶請求獲取信息時,許多 SIEM只是簡單查找此信息,而不會進行實時關(guān)聯(lián)和呈現(xiàn)。邁克菲的SIEM 解決方案可以運用此類信息智能地創(chuàng)建準確、實時的風險分析圖。
動態(tài)分析。大數(shù)據(jù)環(huán)境下,僅僅是簡單的事件流分析(只顯示連接頻率以及是否發(fā)生變化)已經(jīng)不足以獲得對真實態(tài)勢的感知。當今的 SIEM 需要動態(tài)情景,從而根據(jù)來源信譽、資產(chǎn)風險以及與之相關(guān)的數(shù)據(jù)、應用程序和數(shù)據(jù)庫活動,識別用戶行為變化并動態(tài)調(diào)節(jié)風險。動態(tài)分析是緩慢攻擊檢測的重要組成部分,大數(shù)據(jù)安全SIEM 架構(gòu)需要適應這種情況。
歷史數(shù)據(jù)分析。攻擊檢測和有效事件響應的另一個重要方面是能夠分析歷史事件數(shù)據(jù)。鑒于當今的攻擊方法,邁克菲SIEM 解決方案能夠訪問數(shù)年的數(shù)據(jù),從而快速定位模式和異常,同時在不影響性能的前提下開展實時分析。同時還能夠與存儲系統(tǒng)輕松集成并有效存儲事件數(shù)據(jù),以避免使用大量存儲設(shè)備及產(chǎn)生巨額成本,其創(chuàng)新的架構(gòu)可以支持頻繁地同時使用實時功能和歷史功能。
事件暴增。當發(fā)生事件數(shù)據(jù)增長超出預期峰值限制時,分析人員能否確定這種事件量增長是否由主動攻擊引起將至關(guān)重要。專為大數(shù)據(jù)安全構(gòu)建的邁克菲SIEM 不僅能夠處理這些暴增情景,而且還能夠?qū)⑦@些暴增情形納入許可方案。相反,那些不了解這一問題的 SIEM 將會在超出每秒事件量 (EPS) 限制時丟棄事件或阻止分析人員訪問控制臺,在最關(guān)鍵的時刻禁止安全團隊訪問他們的主要態(tài)勢感知工具。
大數(shù)據(jù)不僅對于機構(gòu)是一項嚴峻挑戰(zhàn),對于安全團隊同樣提出了更高要求。過去,對于加強安全性的迫切需求一直驅(qū)使人們收集分析越來越多的事件和安全數(shù)據(jù)。隨著安全數(shù)據(jù)量的不斷上升,傳統(tǒng)的SIEM產(chǎn)品更多的只是關(guān)注日志,對其進行收集和分析。對于今天的安全威脅環(huán)境來說,傳統(tǒng)的SIEM功能顯然是不夠的。只有與大數(shù)據(jù)分析相結(jié)合,形成從數(shù)據(jù)收集分析到快速完成安全管理策略建議,這才是SIEM真正需要做的。
評論