Gartner公司分析師表示,使用“大數據”來提高企業信息安全不完全是炒作,這在未來幾年內這將成為現實。
然而,這個實現過程將非常艱難,因為成功的大數據安全分析部署將要重繪IT部門的邏輯邊界,但現在很少有安全廠商提供支持這種過渡的產品。
在2012年Gartner安全和風險管理峰會上,Gartner公司副總裁Neil MacDonald談到了與大數據相關的一些重要信息,他指出,鑒于大數據的數量、速度、多樣性和復雜性,分析和處理大數據需要采用不同的方法,而現在有很少IT企業具有可擴展性系統,能夠以合理的速度來分析幾TB的數據。
他又舉出了幾種很難相關聯、分析和用于業務和信息安全決策的大數據類型,包括網絡數據包捕捉、傳感器、各類交易數據、合規監控和威脅情報。
“重點不是數據,而是你應該如何處理這些數據:對這些數據進行分析獲取的你需要的情報信息,”MacDonald表示,“我認為大數據分析是真實的,而不只是炒作,這也是我們將要處理和分析的信息安全數據類型。”
由于高級持續性攻擊(通常簡稱為APT)的迅速崛起,大數據分析成為很多企業信息安全部門迫切需要解決的問題。傳統安全防御措施很難檢測高級持續性攻擊,因為這種攻擊與之前的惡意軟件模式完全不同。
“你怎么知道出現問題了?以前你訂閱了供應商的服務,他們會告訴你問題是什么樣子,然后你可以去尋找問題,”MacDonald表示,“但現在,在一個沒人它什么樣子,你怎么找出問題?”
企業必須先確定正常、非非惡意活動是什么樣子,然后查找與之不同的活動,從而發現惡意活動。但Macdonald表示,要成功做到這一點,企業需要更多的數據來建立一個基線標準,這也就是大數據的用武之地。
MacDonald預測,到2016年,40%的企業(銀行、保險、醫藥和國防行業為主)將積極地對至少10TB數據進行分析,以找出潛在危險的活動。然而,供應商的產品格局無法在短期內進行轉變。現在,企業通常依賴于SIEM系統來關聯和分析安全相關的數據,MacDonald表示目前的SIEM產品無法處理這么大的工作量,大多數SIEM產品提供接近實時數據,但只能處理規范化數據,還有些SIEM產品能夠處理大量原始交易數據,但無法提供實時情報信息。
MacDonald表示,這意味著一些企業將不得不自己來建立有效的大數據分析系統,他預測將會有越來越多的企業開始建立大數據項目,例如像Zions Bancorporation大數據部署項目,該公司使用來自初創公司Zettaset公司的技術建立了一個基于Hadoop安全大數據倉庫。
MacDonald建議,在進行自定義部署之前,企業應該向SIEM供應商尋求幫助,跟蹤市場發展趨勢。一些較大供應商(例如IBM、惠普和EMC及其RSA和VMware子公司)正在基于其SIEM產品建立和整合類似技術。
McDonald表示,最終,安全大數據將演化為IT商業智能發展趨勢的一部分,即結合信息安全情報和IT業務數據,以提供更高水平的業務情報。安全和業務數據相結合能夠帶來巨大的價值,因為隨著IT系統逐漸虛擬化,在安全和業務部門使用標準行為基線來發現異常行為將越來越普遍。此外,運營團隊將知曉對安全至關重要的數據,例如哪些系統承載企業最寶貴的數據。
“你可以想想這幅畫面,其中包含海量數據,”MacDonald表示:“要到達金字塔的頂端,你必須使用有意義的模式和可見度來提取大量數據,讓數據具有可操作性,知道應該對這些數據做什么以及哪些數據應該優先處理。這聽起來很困難,但這正是關鍵所在,也就是Gartner公司所謂的安全情報:我需要知道將重點放在哪里——通過IT風險‘熱圖’來顯示工作重點。”
關于這種演變是否將發生在未來幾年內,與會者有不同的意見。Open Field Capital公司研究分析師Luis Scull表示,他不認為大數據在未來幾年內將掌控大局,因為大多數企業不具備相關資源或政策資本。
然而,新澤西州某公司的技術協助和事件響應高級主管Robert House表示,在他們企業,大家已經開始談論大數據安全分析系統的話題,因為他們迫切地需要找到創新的方法來檢測威脅。但SIEM供應商還沒有加快步伐來幫助客戶采取下一步行動。
House表示:“我的經驗是大部分供應商解決方案不會對他們提供給你的數據進行補充,你需要在企業內部來完成。”合規也推動著大數據的演化,隨著PCI DSS(支付卡行業數據安全標準)和SOX(薩班斯-奧克斯利法案)有更先進的防御方法,在未來幾年內,我們會對安全大數據系統的需求更迫切。
“由于Stuxnet和Flame等攻擊變得越來越智能,你將需要加強安全控制,不斷改善你的安全方法。”
京公網安備 11010502049343號