面對海量日志和更加隐蔽的黑客攻擊,企業應對安全風險需要更有效的手段。對于組織架構龐大、IT系統部署複雜的企業來說,各地分公司每天産生的日志數量繁多,且不能集中管理,安全威脅就可能淹沒在上億條安全日志裡。
以中型企業或網際網路公司為例,内部安全裝置每天會生成海量日志。如果沒有強大和高效的處理能力和響應速度,就很難發現安全威脅,智能防禦更是成為一種奢談。這樣日複一日會對企業資料和财産造成巨大安全隐患,一旦遭受安全威脅,影響後果巨大。
由于國内安全營運平台(SOC)提供商多數不具備存儲、分析海量安全大資料的能力,以及安全可視化的展示方式,導緻現有安全營運平台(SOC)效率低下,不能及時發現安全風險,無法真正發揮全營運平台(SOC)的“安全大腦”作用。
IT168網在2013年6月進行的一次企業SOC應用狀況調研資料顯示,企業在使用SOC安全管理平台時遇到的主要挑戰包括:無法真正發現和排查安全問題;人手不足,缺少安全運維工程師;系統維護起來十分複雜。
概況來說,市場上現有的安全營運平台(SOC)産品主要有以下問題:
1、現有安全營運平台(SOC)采用單機架構,導緻資料存儲量受限,但IT系統和安全裝置每天都會産生大量日志。面臨海量資料時,每秒數十萬 EPS 的要求,不應是一台機器進行處理的。這種單機架構的弊端顯而易見;
2、現有安全營運平台(SOC)缺乏大資料檢索分析能力,無法對海量資料進行深度分析和挖掘,IT系統與安全裝置的日志資料無法發揮應有的價值和作用;
3、現有安全營運平台(SOC)缺乏安全可視化的展示能力,無法通過對資料進行互動的可視方式,從總體上把握系統的安全狀況,進而快速了解日志細節,支援決策。
4、現有安全營運平台(SOC)缺乏雲端威脅情報的支撐,對IT系統與安全裝置的日志中的異常行為無法及時發現,因而預警和響應就更無從談起進行。
現實的安全挑戰使現有的安全營運平台(SOC)亟待更新。安全專家預計,未來基于分布式大資料架構、威脅情報支撐的新一代安全營運平台,将會逐漸取代現有的SOC産品,成為大資料安全分析時代的理想平台。
原文釋出時間為:2015-12-31
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。
![Nacos 2.0 更新前後性能對比壓測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)