邁克菲：大資料處理能力是SIEM的核心

大資料時代，安全需主動

現在，每一秒都有一個惡意軟體新樣本產生，高達83%的企業遭受過高級持續威脅的攻擊——大資料不僅僅是客戶所面臨的挑戰，對安全產品供應商也同樣。 如果說，風險等於威脅乘以資產再乘以漏洞，那麼大資料時代，風險正變得更加諱深莫測。

2013 年是企業大規模採用大資料技術的一年，Gartner發佈的相關報告顯示，42%的IT主管表示其所在的企業已經投資大資料技術或者將在一年內進行相關投 資。 從海量的低價值密度的結構化和非結構化資料中獲取有價值的資訊，顯然已經成為企業IT收益的重要組成部分。 與此同時，還沒結束的2013年已經被人們 扣上了「網路安全性漏洞之年」的帽子。 邁克菲全球消費市場副總裁Gary Davis在一篇博客文章中寫道，截至到今年8月份，大量的網路攻擊事件讓眾多企業，特別是金融機構損失高達數百萬美元。 從以報復為目的的「駭客行為」到 非法信用卡詐騙，網路詐騙可謂無所不用其極。

對於大資料來講，重點不是資料，而是應該如何處理這些資料——對這些資料進行分析獲取所需要的情報資訊，Gartner發佈的這一言論同樣被廣泛認同。 事實 上，SIEM （安全資訊和事件管理）本身就是為了應對資料處理能力不足這一根本問題。 邁克菲副總裁兼亞太區首席技術官Michael Sentonas早些時候接受記者專訪時也曾表示：「SIEM是智慧安全系統中非常重要的領域。 邁克菲的SIEM產品可將其全球威脅智慧感知系統與應用、 終端、網路、資料庫等其他管道資訊進行整合，對安全資料進行即時分析。 此外，IPS、防火牆等技術也被融入SIEM解決方案中。 」以SIEM為平臺的整合 解決方案對不同攻擊具有更高的可視度，讓安全防護更加主動。

即時分析的強大性滲透整個網路

一些具有安全意識的行業，例如大型金融服務中心和政府機構早在初期已經採用 SIEM，但直到 2005 年左右，薩 班斯-奧克斯利法案 (Sarbanes Oxley) 審計通過之後才得到廣泛應用並建立有效市場。 合規審計不僅擴大了 SIEM 的應用規模，還衍生了大量其他安全設備並提升了日誌記錄水準。 邁克菲亞太區SIEM解決方案實踐經理 Mason Hooper表示，對於今天的安全威脅環境來說，傳統的SIEM產品更多的只是關注日誌並對其進行收集和分析，這顯然是不夠的。 而是要即時掌控整個網路的 異常情況，還需要關注應用層的安全。

從眾多的報導中，我們能夠看到一些機構組織在已經通過了據稱基於嚴格合規標準的安全審計以後，仍然發生了災難性的資料洩露， IT 安全防護亟需從按章照抄式的合規發展為覆蓋週邊、內部、資料和系統安全防護的全方位安全計畫。 為應對這些不斷增加的安全控制手段，可謂是極富創新性和韌性 的攻擊者們同樣提高了攻擊方法的複雜度，因此，邁克菲認為SIEM 需要檢測緩慢攻擊，快速檢測事件流異常，並獲取相關的資料、應用程式和資料庫上下文資訊。 而大資料包含的資料集規模過於龐大，擁有強大的資料分析能力的 SIEM解決方案才得以勝任。

關係資料可擴充性。 由於事件資料量持續成倍增加，攻擊複雜度也越來越高，通過有關來源、資產、使用者和資料智慧態勢感知的關係資料豐富事件資料將變得十分關鍵。 另外，還需要在數 據庫架構中提供這類資訊與事件流之間的即時關聯。 雖然許多 SIEM 都具有這些功能，但由於資料庫端的表限制，極少有 SIEM 能夠支援多個寬泛清單。 同時，為避免分析性能下降，當使用者請求獲取資訊時，許多 SIEM只是簡單查找此資訊，而不會進行即時關聯和呈現。 邁克菲的SIEM 解決方案可以運用此類資訊智慧地創建準確、即時的風險分析圖。

動態分析。 大資料環境下，僅僅是簡單的事件流分析（只顯示連接頻率以及是否發生變化）已經不足以獲得對真實態勢的感知。 當今的 SIEM 需要動態情景，從而根據來源信譽、資產風險以及與之相關的資料、應用程式和資料庫活動，識別使用者行為變化並動態調節風險。 動態分析是緩慢攻擊檢測的重要組成部分，大資料安全SIEM 架構需要適應這種情況。

歷史資料分析。 攻擊檢測和有效事件回應的另一個重要方面是能夠分析歷史事件資料。 鑒於當今的攻擊方法，邁克菲SIEM 解決方案能夠訪問數年的資料，從而快速定位模式和異常，同時在不影響性能的前提下開展即時分析。 同時還能夠與存儲系統輕鬆集成並有效存儲事件資料，以避免使用大量存放裝置及產生巨額成本，其創新的架構可以支援頻繁地同時使用即時功能和歷史功能。

事件暴增。 當發生事件資料增長超出預期峰值限制時，分析人員能否確定這種事件量增長是否由主動攻擊引起將至關重要。 專為大資料安全構建的邁克菲SIEM 不僅能夠處理這些暴增情景，而且還能夠將這些暴增情形納入許可方案。 相反，那些不了解這一問題的 SIEM 將會在超出每秒事件量 (EPS) 限制時丟棄事件或阻止分析人員存取控制台，在最關鍵的時刻禁止安全團隊訪問他們的主要態勢感知工具。

大資料不僅對於機構是一項嚴峻挑戰，對於安全團隊同樣提出了更高要求。 過去，對於加強安全性的迫切需求一直驅使人們收集分析越來越多的事件和安全資料。 隨著 安全資料量的不斷上升，傳統的SIEM產品更多的只是關注日誌，對其進行收集和分析。 對於今天的安全威脅環境來說，傳統的SIEM功能顯然是不夠的。 只有 與大資料分析相結合，形成從資料收集分析到快速完成安全管理原則建議，這才是SIEM真正需要做的。