大資料保證公司資訊安全從被動走向主動

大資料給資訊安全帶來的最大改變是通過自動化分析處理與深度挖掘，將之前很多時候亡羊補牢式的事中、事後處理，轉向事前自動評估預測、應急處理，讓安全防護主動起來。

Gartner認為，2013年將是企業大規模採用大資料技術的一年。 42%的IT主管表示其所在的企業已經投資大資料技術或者將在一年內進行相關投資。 從海量的低價值密度的結構化和非結構化資料中獲取有價值的資訊，已經成為企業IT收益的重要組成部分。

大資料對安全廠商而言，意味著海量日誌、駭客攻擊更加隱蔽，同時也是安全技術水準提升的有效手段。

企業IT管理人員一定不會對以下這個場景感到陌生：一名員工在集團上海分公司刷卡進入公司內部，五分鐘後後臺系統顯示該員工在北京分公司登錄企業OA系統。 孤立地看，這兩件事都不屬於安全事故，但如果將它們聯繫起來，IT人員就會立刻意識到問題的嚴重性，一個人怎麼能在五分鐘內從上海飛到北京？ 公司資訊正面臨洩露風險。

以前，如果集團的IT系統複雜，各地分公司每天產生的日誌數量繁多，並且不能集中管理，類似的安 全威脅就可能淹沒在幾十萬條安全性記錄檔裡。 現在，借用大資料分析，SIEM(安全資訊和事件管理)正在讓這些安全隱患無所遁形。 近日，惠普公司宣佈將ArcSight與Autonomy進行整合，將Autonomy在非結構化資料分析上的優勢與ArcSight SIEM相結合，加強其在情景感知等方面的安全分析能力。

大資料在資訊安全領域的應用包括宏觀上的網路安全態勢感知和微觀上的發現安全威脅，尤其是APT攻擊上。 東軟網路安全行銷中心副總經理曹鵬認為：「APT攻擊往往潛藏數年，要想對其進行分析，就要調出企業一兩年內的安全性記錄檔，並且進行對比分析，SOC(安全管理中心)的功能再強大也難以完成這個任務。 」他表示，如果沒有大資料分析，任何一個安全解決方案都很難實現每隔一段時間就對上百億條資訊做一次關聯分析。 「東軟已經在SOC方案的分散式採集引擎中利用Hadoop進行分析。 」

一些企業認為應該加強對大資料本身的隱私保護，曹鵬卻認為完全沒有必要，「大資料是價值低密度的資料，安全廠商沒有必要保護大資料的安全，而是應該利用大資料分析來發現更多安全威脅，這是安全廠商難得的機會」。 在他看來，大資料分析的技術難度並不大，安全廠商也可以通過購買或合作獲得，「重要的是分析的邏輯，包括查詢準則、查詢時間的起止點等，這些考驗的還是安全廠商的傳統思維」。

「大資料給資訊安全防護帶來的最大改變就是我們通過自動化分析處理與深度挖掘相結合，可以將之前很多時候亡羊補牢式的事中、事後處理，轉向事前自動評估預測、應急處理，讓安全防護真正可以主動起來。 」銳捷網路安全產品總監王福光認為，安全廠商應該利用這種趨勢，讓自身的產品方案和大資料分析相結合，形成從資料收集分析到安全管理原則下發，再到效果評估的一整套安全解決方案，從而完成從銷售相對孤立產品到真正解決方案式的模式轉變。

(責任編輯：fumingli)