发帖
雷达卡
现在是一个大数据的时代,大数据里面蕴含着丰富的宝藏,也带来了更多的麻烦,比如大数据的安全管理问题。
互联网上的安全风险越来越多,种类也越来越繁杂,现在每周新发现46,9000个恶意软件样本,它们大多目标明确,采用秘密的方式窃取机密数据,而且其自身还在不断演进。据统计,有83%的企业遭受过高级持续性威胁的攻击,而且到2015年通过网络进行通信的设备将达150亿。大数据时代安全架构在变得愈发复杂,安全需求也在持续增加,需要各种新兴技术应对新型风险和威胁。但这势必增加企业管理的复杂度,投资的复杂度并造成技术成本压力。此时需要采取深度防御策略,并通过安全互联的方式实现全面整体的安全防御,实时获取安全信息,对其进行关联性分析,更快、更早的发现安全威胁。
新安全威胁下需要下一代SIEM
SIEM,SecurityInformationandEventManagement,安全信息与事件管理。SIEM可以为来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。
以往企业每天所产生的安全数据量还不是很多,而今企业每天都在产生大量的安全数据,而且有更多狡猾的安全威胁隐藏在这些数据背后,这就需要下一代SIEM能够有更高、更强的性能去应对大数据,SIEM要能够对大数据进行更具深度和广度的挖掘,进而发现潜藏安全威胁的蛛丝马迹。
传统SIEM并不是为大数据时代的安全所设计,其或者采用扁平化的数据存储方式,或者采用关系型数据库。以扁平化的方式存储数据,读写速度快,但索引能力很差,在进行查询或者分析操作时效率低下。关系型数据库建立了很好的索引,极大提高了查询性能,但其读写速度却很差。“我们每秒钟看到的事件是几十万的级别,传统的SIEM可能只能应对几万的数据”,迈克菲资深信息安全专家程智力认为传统型的SIEM仅做了事件搜集的工作,而没有对数据进行深度挖掘,无法识别上下文之间的信息以及数据背后的信息。
大数据时代需要新型的SIEM,“要有非常好的专属数据库,既能够很快的读写数据,也能够实现快速的查询工作”。下一代SIEM还要能够识别更多上下文信息和数据背景,实现基于应用程序的识别。“知道事件背后操作的用户是谁,其物理位置在哪里,用户所使用的应用程序是什么,应用程序打开了哪个文档,文档里有哪些内容,我们要识别出应用程序里面的内容。”要识别应用,识别应用才能做到更深入的分析和安全呈现。下一代SIEM由于能对安全体系内的所有事件进行实时监测分析,所以当APT攻击刚刚开始试探系统漏洞与弱点时,就能够被及时发现,阻断APT对系统的进一步威胁。而且,迈克菲的下一代SIEM借助其全球安全数据库,能够快速识别攻击来源,从根本上拦截APT攻击。
大数据时代下选择SIEM
哪些企业需要SIEM,企业什么时候需要SIEM?程智力表示,没有不需要SIEM的企业,只是看企业是否到了需要SIEM的时候。当企业还在进行基础IT建设时,还不需要SIEM产品。而当其进行与大数据相关的业务时,就要考虑选择SIEM了。当企业要进行更深入的数据挖掘、进行应用的数据挖掘时就需要借助SIEM来实现其需求。
专业的安全管理人员有利于SIEM的顺畅运行。搜集数据仅仅是SIEM的基础功能,还需要对这些数据进行深入的挖掘分析,而这就需要具有专业的安全知识。在SIEM上线的初期,需要专业人员的指导,帮助进行安全评估、策略设定等等。SIEM主要提供发现问题的数据信息、解决问题的意见信息,具体执行还需要由专业安全人员进行,企业需要根据SIEM架构配置好合理的安全管理人员。
用户如果希望将其传统SIEM产品升级成迈克菲的下一代SIEM产品,那么无需担心数据迁移问题,迈克菲会帮助其对传统数据进行重新格式化以及数据分析。而且这些服务都是免费进行的。
2013年被认为是企业大规模采用大数据技术的一年,却也是“网络安全漏洞之年”。安全是大数据价值实现的根本,安全信息与事件管理(SIEM)作为智能安全系统中非常重要的领域,随着大数据应用的逐步深入将迎来更多的发展机遇。
京公网安备 11010802022788号
