今年,大数据技术在全球企业中被大规模采用,但与此同时,大数据技术的应用也给安全管理带来新的挑战,高达83%的企业遭受过高级持续威胁的攻击。
面对大数据环境下企业面临的安全问题,如何在第一时间通过SIEM平台帮助企业做出风险决策?传统的安全信息与事件管理(SIEM)在大数据环境下有何不足?随着大数据应用的逐步深入,SIEM将发生新的变革,并迎来更多发展机遇。
大数据系统凸显安全互联价值
在今天这个大数据时代,安全架构正变得更加复杂,由此增加了企业管理的复杂度。在这样的架构下,如果架构之间互相割裂,我们便无法在每一个单独的系统中获取有价值的威胁信息,从而形成报警。攻击者由此得以不断尝试安全漏洞,窃取需要的信息。反之,如果有安全互联,那么,任何一个看似不起眼的安全事件都可以跟其他不相关的事件整合在一起,形成报警。这样一来,攻击者无法再轻易尝试,因为他的每一次尝试都可能形成一个整体报警。
安全互联平台什么样?迈克菲资深信息安全专家程智力表示,今天的IT环境下,企业需要对无边界网络进行识别。安全互联平台,首先是需要可视,了解网络里有什么,需要类似于监视器和摄像头的系统;第二是做及时的响应,面对问题要实时有效的响应;最后是持续的管理。在大数据的环境下做持续的安全管理和响应,靠人工管理会是个沉重的负担,不过如果基于技术手段和平台来做则会轻松很多,而做到这一点最基础的就是安全互联。
在整个安全互联平台架构中,实现可视性并实施预警是其中一个重要的基础环节,安全信息与事件管理系统(SIEM)至关重要。传统SIEM仅关注报告和合规,但在今天的威胁环境下,传统的SIEM显然力不从心。我们需要更全面地了解整个网络的异常情况,在应用层了解数据偷窃如何发生,并对协议层和文档层进行更多保护。在迈克菲亚太区副总裁兼首席技术官Michael Sentonas看来,将以上功能进行整合,结合威胁信息数据库,并对终端、网络、数据库中的安全数据进行实时分析,这将会成为未来SIEM产品和解决方案具有革命性的创新方向。
迈克菲下一代SIEM之道
4年前,迈克菲的产品已能实现100%的集成和整合,迈克菲由此正式提出安全互联概念。迈克菲安全互联的总目标是将所有产品整合集成,实现在单一管理控制台上对不同策略进行管理。安全互联平台的推出则是其整个安全互联战略中具有革命性的一步,它可将不同技术做更好的整合,做实时智能威胁信息分析,并更好地针对这些攻击进行响应。
迈克菲安全互联平台(SCP)包含硬件架构层、数据/自动化层、安全管理平台、应对措施层和数据分析层。其中,在硬件方面,迈克菲推出深度安全保护架构——Deep SAFE架构,结合母公司英特尔的主动管理技术,能实现基于硬件级别操作系统之下的安全保护。在安全互联平台中,迈克菲下一代SIEM Nitro系统的作用举足轻重,如果说管理平台是架构、底盘,那么Nitro就是发动机,是关联所有部件最核心的部位。Nitro可把不同安全管理的系统、事件进行有效的收集整理,并进行标准化,再按照迈克菲安全专家所提出的关联建议及企业自身安全风险情况,将其整合成比较容易理解的安全警报,即把安全威胁数据(机器语言)转化成可以被理解的语言。
迈克菲安全互联平台(SCP)
与传统SIEM相比,下一代SIEM究竟有何不同?程智力表示,迈克菲下一代SIEM的最大改变是性能。传统SIEM并不是为大数据的安全时代所设计,其数据库采用的有扁平的文件类型的数据,也有关系类型的数据。扁平的文件类型的数据库,可以很快写入,但索引能力很差,在做查询或分析时,效率很低。关系型数据库索引做得不错,但读写速度慢。大数据时代,我们每秒钟看到的事件是海量的,这是传统的SIEM远远不能应对的。下一代SIEM有非常好的专属数据库,既能够很快的读写数据,又能够实现快速查询,由此能应对大数据安全时代的特点;下一代SIEM与传统SIEM的不同之处还在于,传统SIEM更多是对事件进行收集,并加以呈现,很少做数据深度挖掘和关联,而下一代SIEM能识别更多上下文信息和数据背景,传统SIEM看到的往往是时间、地点、目标、IP地址,是枯燥的孤立的事件描述,却没有更多的反映出事件来自于什么用户,没有物理信息,也没有描述这些事件跟互联网上的安全事件的关联,下一代的SIEM呈现的背景信息则包括:目标主机的操作系统及风险情况、事件操作的用户、该用户在进行该事件时的应用程序是什么,物理位置是什么。目前,能看到的风险多是基于某一个应用的,很少有单独的基于操作系统的攻击,只有识别应用才能做到更深入的分析和安全呈现。