移动和云计算的采用扩大了现代企业的安全边界,许多企业在更深入地了解其IT基础设施,以监控恶意活动或软件。这些潮流带来了越来越多有待评估的威胁数据。想把这些数据转化成有意义的情报,就需要不仅限于传统安全信息和事件管理(SIEM)功能的工具,以便整合和分析不同类型的数据(包括结构化数据和非结构化数据)。
分析威胁数据可能是一笔不小的开支,对中小企业来说尤为如此。除了软件许可费外,还面临硬件、人员和培训等方面的成本。不过下面几个免费工具可以助你一臂之力。
思科的OpenSOC
思科系统公司的高级服务经理Pablo Salazar说:“我们不再依赖传统的威胁检测方式。”如今的安全需要运用大数据分析手段;去年11月,思科宣布了OpenSOC开源安全分析框架。OpenSOC是一种异常检测和事件分析平台,它整合了Hadoop生态系统的诸多部分(包括Storm、Kafka和Elasticsearch),提供全数据包捕获、索引、存储、数据强化以及流处理和批处理,另外还提供实时搜索和遥测聚合。免费工具可从这里获得(http://opensoc.github.io)。
社区版Infinit.e
IKANOW的Infinit.e开源安全分析工具与第三方应用程序整合起来,提供了吸收、搜索、数据窗口小部件和导出等功能。免费的社区版其实是Infinit.e企业版的简化版。它可以收集、存储、处理、检索、分析和显示非结构化文档及结构化记录。来自所有数据源的数据转换成单一数据模型,以便可以对整个数据集执行常见查询、评分算法和数据分析等任务。社区版可从这里获得(http://www.ikanow.com/downloads/)。
Splunk
Splunk支持数据发现,可以通过数据索引功能和谷歌率先推出的MapReduce功能,分析非常庞大的数据集。Splunk可收集来自大多数数据源的未经规范化处理的数据,对安全事件执行数据分析和统计分析。它让威胁分析人员可以解读威胁情报数据,并识别和记录威胁。它可从这里下载获得(http://www.splunk.com/en_us/download.html)。
AlienVault开放威胁交换中心(OTX)
AlienVault OTX本身是一个论坛,而不是一款软件工具:它让你可以自由进入威胁研究人员和安全专业人员云集的全球社区。该平台提供了社区生成的威胁数据,支持协作研究,并且使这个过程:利用来自多个数据源的威胁情况更新你的安全基础设施实现了自动化。论坛成员可以积极讨论、研究、证实和分享最新的威胁数据、趋势和技巧。你可以在此加入(https://otx.alienvault.com)。
打造开源威胁情报系统
印度共生国际大学共生信息技术中心的研究人员提议采用一种威胁情报系统模型,以满足这一要求:利用具有成本效益的动态解决方案来对付复杂的网络威胁。
Sabari Girish Nair和Priti Puri博士撰文道:“我们的解决方案需要简单,又易于构建和实施。”这种模型的各部分包括:公共数据源和开源数据库管理系统用来存储安全日志和高级持续威胁的概况信息,SpagoBI开源商业智能套件则作为分析引擎。
他们俩表示,这种解决方案可能不如专有的商业系统来得一样高效或完全自动化,但是几乎是免费的,而且很容易改动。