RSA呼籲企業準備迎接資訊安全中的大資料革命

RSA安全簡報概述到2015年大資料將如何改變安全方法和技術

1月18日，EMC資訊安全事業部RSA發佈了一份安全簡報，斷言大資料將會是整個安全行業發生重大轉變的驅動因素，並將推動智慧驅動的資訊安全模型。 大資料預期將給資訊安全領域內的幾乎每一個學科帶來翻天覆地的變化。 新的簡報預計到2015年，大資料分析將有可能給資訊安全領域包括SIEM（資訊安全事件管理）、網路監控、使用者身份認證和授權、身份管理、欺詐檢測以及治理、風險及合規系統在內的大多數產品類別帶來足以改變市場的變化。

簡報的作者斷言，大資料帶來的變化已經開始。 今年，領先的安全機構將部署已商業化、現成的大資料解決方案，以支援他們的安全運營。 在此之前，部署在SOC（安全運維中心）內的先進資料分析工具都是定制的，但2013年標誌著安全領域大資料技術商業化的開始，這是一種在未來幾年內將重塑安全方法、解決方案和投入的趨勢。

從長遠來看，大資料還將改變諸如反惡意軟體，資料丟失防護和防火牆等傳統安全控制措施的性質。 在三到五年內，資料分析工具將進一步發展，以實現各種先進的預測能力和自動化的即時控制。

現今極度延伸、基於雲、移動性極強的商業世界，對於那些依賴于邊界防禦以及要求預定網路威脅知識的靜態安全控制措施的流行安全實踐來說已經不太適宜了。 這就是為什麼安全領袖們都會轉向智慧驅動的資訊安全模型 —— 一種能夠感知風險、基於上下文背景以及靈活的，並能説明企業抵禦未知高級網路威脅的模型。 具有大資料能力的工具所支援的智慧驅動的資訊安全方法融合了動態的風險評估、巨量安全資料的分析、自我調整的控制措施以及有關網路威脅和攻擊技術的資訊共用。

安全簡報提出了六個指導方針，以説明企業開始規劃大資料驅動下的安全工具集和運營的轉變，並作為他們智慧驅動的資訊安全計畫的一部分。

1.設定一個整體的網路安全戰略 —— 企業應當在針對其特定的風險、網路威脅和要求而定制的整體網路安全戰略和程式下調整他們的安全能力。

2.針對安全資訊建立一個共用的資料體系結構 —— 因為大資料分析要求資訊能夠從各種來源中、以多種不同的格式進行收集，建立一個使得所有的資訊都能夠被捕獲、索引、標準化、分析和共用的單一體系結構是一個合乎邏輯的目標。

3.從單點產品遷移到統一的安全體系結構中 —— 企業需要對哪些安全產品在數年內還將繼續支援和使用進行戰略性的思考，因為每個產品都會引入其自己的資料結構，而它必須被整合到一個統一的分析框架中以實現安全性。

4.尋求開放和可擴展的大資料安全工具 —— 企業應當確保對安全產品的持續投資應有利於使用基於敏捷分析方法的技術，而不是基於網路威脅簽名或網路邊界的靜態工具。 新的、實現大資料的工具應當能夠提供體系結構的靈活性，以順應企業、IT或網路威脅環境的發展而做出改變。

5.加強SOC的資料科學技能 —— 儘管新出現的安全解決方案將會是具備大資料能力的，但安全團隊卻可能不會。 資料分析是一個專職人才缺乏的領域。 具有安全領域專業知識的資料科學家非常稀缺，對他們將會保持非常高的需求。 其結果就是，許多企業有可能轉向外部合作夥伴，以補充其內部安全分析能力。

6.利用外部網路威脅情報 —— 利用外部網路威脅情報服務增強內部安全分析程式，並對來自可信和相關來源的網路威脅資料進行評估。

根據安全簡報作者的觀點，將大資料整合至安全實踐的結果將會極大地增強對IT環境的可視性，以及鑒別正常活動和可疑活動的能力，以説明確保IT系統的可信性，並大大提高安全事件回應能力。

博思艾倫漢密爾頓諮詢公司 高級副總裁William H. Stewart認為，「遊戲正在發生改變。 越來越多的資料以自動化的形式進入互聯網，並且其載體還將繼續。 因此，在兩三年前非常好用的安全分析工具現在不那麼好用了。 現在，您必須查看更多的資料，而且您必須尋找更為細微的網路威脅。 商業工具正在發生改變，以充分利用這些流向網上的大資料流程。 」

EMC資訊安全事業部RSA首席資訊安全官Eddie Schwartz表示，「在未來的一年內，具有漸進式安全能力的頂級企業將會在大資料分析的基礎上採用智慧驅動的資訊安全模型。 而在接下來的兩到三年內，這種安全模型將成為一種生活方式。 」

EMC資訊安全事業部RSA首席專家、身份與資料保護首席技術官Sam Curry指出，「大資料正在不斷改變著性質，並且在不斷突破諸如基於簽名的防惡意軟體和防火牆，以及基於規則的身份和訪問管理工具等傳統安全控制措施的限制。 大資料正在以新的方式進行應用，以實現自我調整的、基於風險的和自我學習的安全控制措施，使得能夠對安全措施進行連續不斷的評估，並且能夠根據不斷變化的環境和風險條件，自動調整保護層級。 隨著使用者身份和複雜的資料流程彙集一起，並對它們提供更為豐富的可視性，網路威脅和欺詐的發現與回應因此可以變得更具預測性，從而為反映正常和異常的行為提供了資料驅動的視圖。 」

(責任編輯：蒙遺善)