以海量、多样、快速为显着特征的大数据滔滔袭来,人们对其战略意义的认识,已从如何掌握庞大的数据信息,转向了如何实现对这些数据的深层挖掘,进而让其“增值”。只有通过大量信息的整合和海量数据的分析,让企业深入了解自身业务,实现新的业务洞察,从而帮助组织机构更好地做出商业决策才是大数据的价值所在。安全大数据就是大数据的一个重要领域。
那么,如何通过对安全大数据的实时处理,快速帮助企业判断各种潜在威胁并预测未来攻击,为管理决策提供依据,成为信息安全解决方案的关键。
对企业而言,信息安全是为企业信息化服务,而信息化又服务于业务增长。只有将安全与业务数据相结合才能为企业带来价值,这一层看似间接却极为必要的关系在大数据时代被无限放大。Gartner报告指出,最终安全大数据将演化为IT商业智能发展趋势的一部分,即结合信息安全情报和IT业务数据,以提供更高水平的业务情报。
随着IT系统逐渐虚拟化,在安全和业务部门使用标准行为基线来发现异常行为将越来越普遍。安全运营团队知晓对安全至关重要的数据,可以利用安全大数据来加强企业安全建设,抵御内外部网络威胁。另据Gartner预测,到2016年,40%的企业(银行、保险、医药行业为主)将积极地对至少10TB数据进行分析,以找出潜在危险的活动。
主动的安全防护需要建立在综合平台之上。很多企业都缺乏对于历史数据的挖掘和有效利用,而那些历史数据中可能包含与当前攻击以及未来攻击的有关线索。更为现实的状况是,企业收集日志通常是为了保证合规。他们很少会挖掘可用的数据来改善自己的安全状况或者减少环境中存在的风险。
如果集团的IT系统复杂,各地分公司每天产生的日志数量多,并且不能集中管理,类似的安全威胁就可能淹没在几十万条安全日志里。海量的数据没法分析,领导无法拿到他所需要的数据,导致其无法做出正确的决策。
由此,企业急需一套平台,能够缩短“查出根本原因的时间”,并能根据全面完整的数据集做出风险和规避决策,将之前很多时候亡羊补牢式的事中、事后处理,转向事前自动评估预测、应急处理,让安全防护主动起来。
那么,到底有没有一种这样的工具呢?业内专家表示,通过SIEM(安全信息和事件管理)平台,帮助企业全面应对大数据带来的信息安全挑战。
区别于防火墙等产品专注于解决某一问题,SIEM(安全信息和事件管理)是一个贯通企业应用层、执行层和管理层的平台,一旦把海量的日志、跟安全相关的信息运行到这个平台之上,便可以依据企业的动态发展情况,为企业管理者提供直观的决策依据。
专家表示,企业不能孤立的解决安全难题,而是要构建综合防御体系。能够将不同的技术、合作伙伴进行整合。包括IPS、防火墙等其他安全产品被融入到SIEM解决方案中。通过双向集成与ePolicyOrchestrator(ePO)平台链接,将ePO的管理、控制和开放性的优势与SIEM的数据捕获、关联和分析功能相结合,以提高威胁跟踪与风险评估能力,从而实现实时协作、受控响应及精确报告。
受益于这种安全互联策略,企业不会再是根据极少的数据来做出临时性应对决策,而是在明确了解关联事件及其对基础设施的影响后,采取果断行动。大数据时代,事件发生后再进行清理的模式已经不适用。