企業大數據安全分析的四大關鍵要點

ESG公布的一項研究表明，44%的企業認為其所采用的安全數據收集與分析機制可以被歸類為“大數據”方案;另外44%的企業則認為其所采用的安全數據收集與分析機制在未來兩年內將能夠被歸類為“大數據”方案。(備注：在此次調查中，大數據安全分析機制被定義為“安全數據集迅猛增長，總量之龐大已經很難利用現有安全分析工具進行處理”。)

因此，企業很可能會在未來幾年內開始嘗試某些類型的大數據安全分析產品或者解決方案。也就是說，筆者所接觸的很多CISO(首席信息安全官)仍然對這一新興安全方案類型感到困惑，而且需要他人的幫助破解炒作謎團。

大數據安全分析常見問題為尚處于迷茫狀態的安全管理者們施以援手。文章中對大數據安全分析方案做出了基本定義，任何一種大數據安全分析機制都必須具備龐大的規模處理能力以及靈活的查詢功能，但企業應該如何在眾多產品當中做出選擇?

由于安全行業對于縮寫有著特殊的喜好，因此我建議各位安全專家從AVCA四大方面做出考量——它們分別代表算法(Algorithms)、可視化(Visualization)、背景(Context)以及自動化(Automation)。

? 算法。在大數據安全分析領域，算法代表手動與自動分析機制之間的差異。在算法的幫助下，企業分析師們能夠獲得來自智能化技術的支持;失去算法的幫助，他們將被迫親自面對日益龐大的數據總量。大數據安全分析算法應該將數據、處理能力以及定制規則以極高精度融合在一起。具體實例包括機器學習(例如21CT、LogRhythem以及SilverTail等)以及異常行為預測(例如Click Security、Lancope、Netskope以及Solera Networks等)。很多企業還會將Splunk作為自己的定制算法基礎。

? 可視化。數據可視化在安全領域的應用仍然處于起步階段，主要包括通過餅狀圖、曲線圖以及Excel數據透視表等方式加以呈現。雖然可視化技術還屬于新興課題，但目前已經有越來越多的相關研究及開發工作處于進行當中，大部分源自美國國家實驗室以及各大學術機構。另外，每年在亞特蘭大喬治亞舉辦的VizSec大會(www.vizsec.org)也致力于推動網絡安全研究與數據可視化發展。隨著時間的推移，CISO們將在這一領域迎來飛躍式變革，其中包括新型可視化硬件、類列表數據處理、3D圖形匹配模式、風險評分分析以及數據維度旋轉等。目前值得關注的相關廠商有LexisNexis、Hexis Cyber Solutions以及Narus等。

? 背景。當惡意軟件將矛頭指向未安裝最新補丁的系統時，情況就變得非常危急。然而當惡意軟件嘗試進攻已經安裝了補丁的系統時，事態則沒那么嚴重。隨著時間推移，大數據安全分析將與連續監測下的威脅檢測/取證相結合，共同針對相關網絡攻擊做出風險評分。McAfee公司將通過對McAfee安全管理器(即Nitro)與ePO加以整合來推動這一進程。RSA也將通過其大數據安全分析機制與Archer的橋接實現同樣的目標?；萜赵谶@條道路上同樣擁有自己的規劃。

? 自動化。類似于由IDS向IPS的過渡，自動化進程可能會由于安全人員對誤報狀況的擔憂而進展緩慢。不過安全自動化機制的普及能夠幫助安全人員緊跟不斷增長的實際需求。思科公司將利用其網絡基礎設施、SDN以及基于云計算的大數據安全智能方案實現網絡安全自動化。以Check Point以及Palo Alto Networks為代表的其它網絡安全廠商也將踏上這段征程。IBM同樣表現積極，有意將其網絡安全產品組合(即ISS)、Trusteer(即端點安全方案)、QRadar、IBM Security Intelligence、大數據以及X-force安全情報方案進行整合。

安全專家在對大數據安全分析產品進行研究及評估時，應當確保將AVCA作為規范要求中的組成部分。而從供應商的角度出發，良好的AVCA實現能力將成為通往成功的有效助力。