Gartner公司分析师表示,使用“大数据”来提高企业信息安全不完全是炒作,这在未来几年内这将成为现实。
然而,这个实现过程将非常艰难,因为成功的大数据安全分析部署将要重绘IT部门的逻辑边界,但现在很少有安全厂商提供支持这种过渡的产品。
在2012年Gartner安全和风险管理峰会上,Gartner公司副总裁Neil MacDonald谈到了与大数据相关的一些重要信息,他指出,鉴于大数据的数量、速度、多样性和复杂性,分析和处理大数据需要采用不同的方法,而现在很少有IT企业具有可扩展性系统,能够以合理的速度来分析几TB的数据。
他又举出了几种很难相关联、分析和用于业务和信息安全决策的大数据类型,包括网络数据包捕捉、传感器、各类交易数据、合规监控和威胁情报。
“重点不是数据,而是你应该如何处理这些数据:对这些数据进行分析获取的你需要的情报信息,”MacDonald表示,“我认为大数据分析是真实的,而不只是炒作,这也是我们将要处理和分析的信息安全数据类型。”
由于高级持续性攻击(通常简称为APT)的迅速崛起,大数据分析成为很多企业信息安全部门迫切需要解决的问题。传统安全防御措施很难检测高级持续性攻击,因为这种攻击与之前的恶意软件模式完全不同。
“你怎么知道出现问题了?以前你订阅了供应商的服务,他们会告诉你问题是什么样子,然后你可以去寻找问题,”MacDonald表示,“但现在,没人它什么样子,你怎么找出问题?”
企业必须先确定正常、非恶意活动是什么样子,然后查找与之不同的活动,从而发现恶意活动。但Macdonald表示,要成功做到这一点,企业需要更多的数据来建立一个基线标准,这也就是大数据的用武之地。
MacDonald预测,到2016年,40%的企业(银行、保险、医药和国防行业为主)将积极地对至少10TB数据进行分析,以找出潜在危险的活动。然而,供应商的产品格局无法在短期内进行转变。现在,企业通常依赖于SIEM系统来关联和分析安全相关的数据,MacDonald表示目前的SIEM产品无法处理这么大的工作量,大多数SIEM产品提供接近实时数据,但只能处理规范化数据,还有些SIEM产品能够处理大量原始交易数据,但无法提供实时情报信息。
MacDonald表示,这意味着一些企业将不得不自己来建立有效的大数据分析系统,他预测将会有越来越多的企业开始建立大数据项目,例如像Zions Bancorporation大数据部署项目,该公司使用初创公司Zettaset公司的技术建立了一个基于Hadoop安全大数据仓库。
MacDonald建议,在进行自定义部署之前,企业应该向SIEM供应商寻求帮助,跟踪市场发展趋势。一些较大供应商(例如IBM、惠普和EMC及其RSA和VMware子公司)正在基于其SIEM产品建立和整合类似技术。
McDonald表示,最终,安全大数据将演化为IT商业智能发展趋势的一部分,即结合信息安全情报和IT业务数据,以提供更高水平的业务情报。安全和业务数据相结合能够带来巨大的价值,因为随着IT系统逐渐虚拟化,在安全和业务部门使用标准行为基线来发现异常行为将越来越普遍。此外,运营团队将知晓对安全至关重要的数据,例如哪些系统承载企业最宝贵的数据。
“你可以想想这幅画面,其中包含海量数据,”MacDonald表示:“要到达金字塔的顶端,你必须使用有意义的模式和可见度来提取大量数据,让数据具有可操作性,知道应该对这些数据做什么以及哪些数据应该优先处理。这听起来很困难,但这正是关键所在,也就是Gartner公司所谓的安全情报:我需要知道将重点放在哪里通过IT风险‘热图’来显示工作重点。”
关于这种演变是否将发生在未来几年内,与会者有不同的意见。Open Field Capital公司研究分析师Luis Scull表示,他不认为大数据在未来几年内将掌控大局,因为大多数企业不具备相关资源或政策资本。
然而,新泽西州某公司的技术协助和事件响应高级主管Robert House表示,在他们企业,大家已经开始谈论大数据安全分析系统的话题,因为他们迫切地需要找到创新的方法来检测威胁。但SIEM供应商还没有加快步伐来帮助客户采取下一步行动。
House表示:“我的经验是大部分供应商解决方案不会对他们提供给你的数据进行补充,你需要在企业内部来完成。”合规也推动着大数据的演化,随着PCI DSS(支付卡行业数据安全标准)和SOX(萨班斯-奥克斯利法案)有更先进的防御方法,在未来几年内,我们会对安全大数据系统的需求更迫切。
“由于Stuxnet和Flame等攻击变得越来越智能,你将需要加强安全控制,不断改善你的安全方法。”