當評估大資料安全分析産品時 你應該考慮這五個因素

網絡犯罪和其他惡意活動的增加正在促使企業部署比以往任何時候都更多的安全控制以及收集更多的資料。現在，企業開始将大資料分析技術應用到安全監控中，試圖通過範圍更廣更深入的分析來保護寶貴的公司資源。大資料安全分析技術部分利用了大資料的可擴充性，并結合了進階分析和安全事件與事故管理系統(SIEM)。

大資料安全分析适合很多用例，但并不适合所有用例。例如，我們應該考慮一下檢測和阻止進階持續性威脅技術面臨的挑戰。使用這些技術的攻擊者可能會采用慢節奏、低能見度的攻擊模式來逃避檢測，而傳統的日志記錄和監控技術可能無法檢測到這種攻擊，因為這種攻擊的各個步驟可能在單獨的裝置執行，跨越很長的時間周期，并且看起來似乎沒有關聯。掃描日志和網絡流量中的可疑活動有時候可能會錯過攻擊者殺傷鍊的關鍵部分，因為它們可能與正常活動的差别不大。而避免遺漏資料的方法之一是盡可能多地收集資料，而這正是大資料安全分析平台中使用的方法。

顧名思義，這種安全分析方法利用了大資料工具和技術，這些工具和技術可收集、分析和管理高速生成的大量資料。這些相同的技術還被用于提高各種産品的效率，從針對流媒體使用者的電影推薦系統，到分析車輛性能特性來優化運輸效率等。但應用到資訊安全領域時，它們也同樣有用。

在評估大資料安全分析平台時，一定要考慮以下五個因素，這五個因素是充分發揮大資料分析優勢的關鍵：

• 統一資料管理平台;

• 支援多種資料類型，包括日志、漏洞和流量;

• 可擴充的資料擷取;

• 資訊安全專用分析工具;

• 合規性報告

總之，這些功能可提供廣泛的功能來收集高速生成的大量資料，并且快速分析這些資料，讓資訊安全專業人員可有效地響應攻擊。

第1個因素：統一資料管理平台

統一資料管理平台是大資料安全分析系統的基礎;資料管理平台負責存儲和查詢企業資料。這聽起來像是衆所周知的已經解決的問題，而不應該是一個重要的特性，但它确實很重要。由于關系資料庫無法像分布式NoSQL資料庫(例如Cassandra和Accumulo)那樣經濟高效地擴充，處理大量資料通常需要分布式資料庫。不過，NoSQL資料庫的可擴充性也有自己的缺點。例如，我們很難部署資料庫某些功能的分布式版本，如ACID事務等。

大資料安全分析産品下的資料管理平台需要平衡資料管理功能與成本及可擴充性。該資料庫應該能夠實時寫入新資料，而不會阻止寫入。同時，查詢應該快速執行以支援對入站安全資料的實時分析。

統一資料管理平台的另一個重要方面是資料內建。

第2個因素：支援多種資料類型

我們通常會從數量、速度和種類來描述大資料。其中安全事件資料的多樣性給資料內建帶來了很多挑戰。

這些事件資料是按不同的細粒度級别來收集。例如，網絡資料包是低級别、細粒度資料，而有關管理者密碼變更的日志條目則為粗粒度資料。盡管存在明顯差別，它們還是可以關聯在一起。例如網絡資料包可以捕捉有關攻擊者到達目标伺服器采用的方法的資料，在攻擊者擷取目标伺服器通路權限後，就可以更改管理者密碼。

第3個因素：可擴充的資料擷取

伺服器、端點、網絡和其他基礎設施元件處于不斷變化的狀态。很多這些狀态變化記錄了有用的資訊，這些資訊應該發送到大資料安全分析平台。假設網絡有足夠的帶寬，那麼，最大的風險就是安全分析平台的資料擷取元件無法應對入站資料。如果是這樣的話，資料可能會丢失，而大資料安全分析平台則會失去價值。

系統可以通過對消息隊列中排隊資料維持高寫入吞吐量，以适應可擴充的資料擷取。同時，有些資料庫專門用于支援高容量寫入，它們采用僅允許附加的方式來寫入，資料被附加在日志資料的後面，而不是寫入到磁盤的任意塊，這可減少了随機寫入到磁盤而帶來的延遲。或者，資料管理系統可以維持一個隊列作為緩沖器，在資料寫入到磁盤時儲存資料。如果消息激增或者硬體故障減緩寫入操作，資料可積累在隊列中，直到資料庫可以清除寫入的積壓。

第4個因素：安全分析工具

Hadoop和Spark等大資料平台是通用工具。雖然它們可以有效建構安全工具，但它們本身并不是安全分析工具。分析工具應該可以擴充來滿足企業基礎設施中生成的資料，這樣來看，Hadoop和Spark等工具滿足這個标準。此外，安全分析工具應該考慮不同資料類型之間的關系，例如使用者、伺服器和網絡等。

分析師應該能夠在抽象層面查詢事件資料。例如，分析師應該能夠查詢使用特定伺服器和應用的使用者之間的關聯，以及這些裝置之間的關聯。這種查詢需要更多圖形分析工具，而不是傳統資料庫中使用的行和列的查詢。

第5個因素：合規性報告

合規報告不再是“最好滿足”的要求，而是必須滿足的要求。很多因合規目的報告的資料元素都涉及安全最佳做法。即使企業不需要維持合規報告，這些報告也可以為企業提供很好的内部監督。

當企業需要提供合規報告，企業需要審查各種大資料安全平台中的報告制度，以確定滿足企業的業務需求。

有效部署大資料安全分析平台

大資料安全分析利用了大資料平台的可擴充性，以及安全分析和SIEM工具等的分析功能。對于企業而言，重要的是認識到這兩者的特性，以及有效部署大資料安全分析平台所需的五個因素。簡單地使用“安全”來重新命名大資料平台或者堅信SIEM可以處理大資料(盡管它并不是為此目的而建構)并不是真正的大資料安全分析平台。

原文釋出時間為：2015-12-07

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。