企业大数据安全分析的四大关键要点

ESG公布的一项研究表明，44%的企业认为其所采用的安全数据收集与分析机制可以被归类为“大数据”方案;另外44%的企业则认为其所采用的安全数据收集与分析机制在未来两年内将能够被归类为“大数据”方案。(备注：在此次调查中，大数据安全分析机制被定义为“安全数据集迅猛增长，总量之庞大已经很难利用现有安全分析工具进行处理”。)

因此，企业很可能会在未来几年内开始尝试某些类型的大数据安全分析产品或者解决方案。也就是说，笔者所接触的很多CISO(首席信息安全官)仍然对这一新兴安全方案类型感到困惑，而且需要他人的帮助破解炒作谜团。

大数据安全分析常见问题为尚处于迷茫状态的安全管理者们施以援手。文章中对大数据安全分析方案做出了基本定义，任何一种大数据安全分析机制都必须具备庞大的规模处理能力以及灵活的查询功能，但企业应该如何在众多产品当中做出选择?

由于安全行业对于缩写有着特殊的喜好，因此我建议各位安全专家从AVCA四大方面做出考量——它们分别代表算法(Algorithms)、可视化(Visualization)、背景(Context)以及自动化(Automation)。

• 算法。在大数据安全分析领域，算法代表手动与自动分析机制之间的差异。在算法的帮助下，企业分析师们能够获得来自智能化技术的支持;失去算法的帮助，他们将被迫亲自面对日益庞大的数据总量。大数据安全分析算法应该将数据、处理能力以及定制规则以极高精度融合在一起。具体实例包括机器学习(例如21CT、LogRhythem以及SilverTail等)以及异常行为预测(例如Click Security、Lancope、Netskope以及Solera Networks等)。很多企业还会将Splunk作为自己的定制算法基础。

• 可视化。数据可视化在安全领域的应用仍然处于起步阶段，主要包括通过饼状图、曲线图以及Excel数据透视表等方式加以呈现。虽然可视化技术还属于新兴课题，但目前已经有越来越多的相关研究及开发工作处于进行当中，大部分源自美国国家实验室以及各大学术机构。另外，每年在亚特兰大乔治亚举办的VizSec大会(www.vizsec.org)也致力于推动网络安全研究与数据可视化发展。随着时间的推移，CISO们将在这一领域迎来飞跃式变革，其中包括新型可视化硬件、类列表数据处理、3D图形匹配模式、风险评分分析以及数据维度旋转等。目前值得关注的相关厂商有LexisNexis、Hexis Cyber Solutions以及Narus等。

• 背景。当恶意软件将矛头指向未安装最新补丁的系统时，情况就变得非常危急。然而当恶意软件尝试进攻已经安装了补丁的系统时，事态则没那么严重。随着时间推移，大数据安全分析将与连续监测下的威胁检测/取证相结合，共同针对相关网络攻击做出风险评分。McAfee公司将通过对McAfee安全管理器(即Nitro)与ePO加以整合来推动这一进程。RSA也将通过其大数据安全分析机制与Archer的桥接实现同样的目标。惠普在这条道路上同样拥有自己的规划。

• 自动化。类似于由IDS向IPS的过渡，自动化进程可能会由于安全人员对误报状况的担忧而进展缓慢。不过安全自动化机制的普及能够帮助安全人员紧跟不断增长的实际需求。思科公司将利用其网络基础设施、SDN以及基于云计算的大数据安全智能方案实现网络安全自动化。以Check Point以及Palo Alto Networks为代表的其它网络安全厂商也将踏上这段征程。IBM同样表现积极，有意将其网络安全产品组合(即ISS)、Trusteer(即端点安全方案)、QRadar、IBM Security Intelligence、大数据以及X-force安全情报方案进行整合。

安全专家在对大数据安全分析产品进行研究及评估时，应当确保将AVCA作为规范要求中的组成部分。而从供应商的角度出发，良好的AVCA实现能力将成为通往成功的有效助力。