在不久的將來，大數(shù)據(jù)安全分析工具會變得像惡意軟件檢測和安全漏洞掃描工具一樣常見。那是由于，這種平臺讓企業(yè)得以獲取來自多個不同數(shù)據(jù)源的數(shù)據(jù)，以近實時的方式整合那些數(shù)據(jù)，分析模式、檢測惡意活動，并且監(jiān)控、報告和進行取證分析調(diào)查。

　　

 

　　本文重點介紹了幾家領(lǐng)先的大數(shù)據(jù)安全分析工具廠商的一些最重要的功能特性，對照了獲得這種平臺的全部好處必不可少的五個必要因素，這些廠商包括Cybereason、Fortscale、Hexis Cyber Solutions、IBM、LogRhythm、RSA和Splunk。這五個因素包括如下：

　　·統(tǒng)一的數(shù)據(jù)管理

　　·支持多種類型的數(shù)據(jù)，包括日志、安全漏洞和網(wǎng)絡(luò)流

　　·可擴展的數(shù)據(jù)獲取

　　·專門針對信息安全的分析工具

　　·合規(guī)報告

　　統(tǒng)一的數(shù)據(jù)管理

　　統(tǒng)一的數(shù)據(jù)管理可謂是大數(shù)據(jù)安全分析產(chǎn)品的基石，而數(shù)據(jù)管理平臺負責存儲和查詢整個企業(yè)的數(shù)據(jù)。它還得兼顧數(shù)據(jù)管理功能與成本和可擴展性。

　　由于Hadoop是一種廣泛使用的大數(shù)據(jù)管理平臺和相關(guān)生態(tài)系統(tǒng)，看到它用作許多大數(shù)據(jù)安全分析平臺的基礎(chǔ)不足為奇。比如說，F(xiàn)ortscale就使用Cloudera Hadoop發(fā)行版。這樣一來，新節(jié)點添加到集群中后，F(xiàn)ortscale平臺就可以實現(xiàn)線性擴展。

　　IBM的QRadar使用一種分布式數(shù)據(jù)管理系統(tǒng)，該系統(tǒng)提供了橫向擴展數(shù)據(jù)存儲這種功能。在一些情況下，分布式安全信息管理系統(tǒng)(SIEM)可能只需要訪問本地數(shù)據(jù)，但是在一些情況下(尤其是取證分析)，用戶可能需要跨分布式平臺來搜索數(shù)據(jù)。IBM QRadar還集成了一個搜索引擎，它既可以本地搜索，又可以跨平臺搜索。與此同時，該大數(shù)據(jù)SIEM使用數(shù)據(jù)節(jié)點，而不是存儲區(qū)域網(wǎng)(SAN)，這有助于盡量降低成本和管理復(fù)雜性。這種基于數(shù)據(jù)節(jié)點的分布式存儲模式可以擴展，支持數(shù)PB的存儲空間――那些企業(yè)組織需要大量的長期存儲。

　　RSA Security Analytics也采用了一種分布式聯(lián)合架構(gòu)來支持線性擴展。擴展以支持大量數(shù)據(jù)時，RSA工具中的分析工作流可滿足一個關(guān)鍵需求：確定事件和任務(wù)的優(yōu)先級，提高分析效率。

　　Hexis Cyber Solutions公司的Hawkeye分析平臺(Hawkeye AP)基于一個數(shù)據(jù)倉庫平臺，專門分析安全事件數(shù)據(jù)。除了擁有可擴展的低層數(shù)據(jù)管理功能(比如能夠?qū)⒋罅繑?shù)據(jù)存儲在多臺服務(wù)器上的文件中)外，擁有以結(jié)構(gòu)化方式查詢數(shù)據(jù)的工具也很重要。Hawkeye AP經(jīng)過了優(yōu)化，以一種分時方式來存儲數(shù)據(jù)，因而不需要全局重建索引。它還被設(shè)計成一種只讀數(shù)據(jù)庫。這便于優(yōu)化性能，但是更為重要的是，它確保數(shù)據(jù)一旦被寫入，不會被篡改。值得一提的是，Hawkeye AP使用了針對分析應(yīng)用經(jīng)過優(yōu)化的列式數(shù)據(jù)存儲，而不是行式存儲。

　　支持多種類型的數(shù)據(jù)

　　數(shù)量、速度和種類是經(jīng)常用來描述大數(shù)據(jù)的三個術(shù)語。諸多種類的安全事件數(shù)據(jù)給大數(shù)據(jù)安全分析產(chǎn)品在數(shù)據(jù)整合方面帶來了諸多挑戰(zhàn)。

　　RSA Security Analytics的解決之道是采用一種模塊化架構(gòu)，從而在保持能夠添加其他數(shù)據(jù)源的同時，還能夠獲取多種類型的數(shù)據(jù)。該平臺旨在可以獲取大量的完整網(wǎng)絡(luò)數(shù)據(jù)包、NetFlow數(shù)據(jù)、端點數(shù)據(jù)和日志。

　　有時候，多種類型的數(shù)據(jù)就意味著使用多款安全工具。比如說，IBM的QRadar就有一個安全漏洞管理器組件，該組件旨在整合來自眾多安全漏洞掃描器的數(shù)據(jù)，然后為該數(shù)據(jù)補充網(wǎng)絡(luò)使用方面的上下文相關(guān)信息。IBM Security QRadar Incident Forensics是另一個專用模塊，可使用網(wǎng)絡(luò)流數(shù)據(jù)和完整數(shù)據(jù)包捕獲技術(shù)，分析安全事件。該取證分析工具包括一個擴展后可支持數(shù)TB網(wǎng)絡(luò)數(shù)據(jù)的搜索引擎。

　　LogRhythm的安全情報平臺(Security Intelligence Platform)是大數(shù)據(jù)安全分析平臺廣泛支持眾多數(shù)據(jù)類型的另一個例子，包括系統(tǒng)日志、安全事件、審計日志、機器數(shù)據(jù)、應(yīng)用程序日志和網(wǎng)絡(luò)流數(shù)據(jù)。該平臺可分析來自這些數(shù)據(jù)源的原始數(shù)據(jù)，生成文件完整性、進程活動、網(wǎng)絡(luò)通信、用戶和活動等方面的第二層數(shù)據(jù)。

　　Splunk Enterprise Security讓分析員得以搜索數(shù)據(jù)，并執(zhí)行可視化關(guān)聯(lián)，以此識別惡意事件，并收集那些事件的上下文方面的數(shù)據(jù)。

　　可擴展的數(shù)據(jù)獲取

　　大數(shù)據(jù)分析安全產(chǎn)品必須獲取來自服務(wù)器、端點設(shè)備、網(wǎng)絡(luò)及狀態(tài)不斷變化的其他基礎(chǔ)設(shè)施部件的數(shù)據(jù)。這個數(shù)據(jù)獲取環(huán)節(jié)的主要風險在于，無法應(yīng)對不斷涌入的數(shù)據(jù)。

　　大數(shù)據(jù)安全分析工具在處理大量數(shù)據(jù)的同時，還能夠分析眾多類型的數(shù)據(jù)。

　　Splunk因廣泛的數(shù)據(jù)獲取功能而大受好評。該平臺不僅提供了連接到數(shù)據(jù)源的連接件，還支持自定義連接件。數(shù)據(jù)在獲取后以無模式(schema-less)的方式來存儲并索引，因而支持不同類型的數(shù)據(jù)，同時仍提供快速的查詢響應(yīng)。

　　至于IBM QRadar，它可以從單個設(shè)備的部署擴展到地域分散的系統(tǒng)。與本文介紹的其他工具一樣，這款大數(shù)據(jù)產(chǎn)品旨在滿足大企業(yè)的需求。IBM QRadar在實際的應(yīng)用環(huán)境中被用來處理每秒數(shù)十萬個事件。小公司或剛開始使用IBM QRadar的企業(yè)可能會把該系統(tǒng)部署在云環(huán)境，盡量減少基礎(chǔ)設(shè)施管理�；旌喜渴鹨膊粺o可能。那樣，事件和網(wǎng)絡(luò)流可在云端處理，只有整理后的事件數(shù)據(jù)發(fā)回到本地系統(tǒng)。

　　另一種重要的整合類型就是數(shù)據(jù)增強(data augmentation)。數(shù)據(jù)增強是指這個過程：收集事件數(shù)據(jù)時，為它增添上下文信息。比如說，RSA Security Analytics增強所分析的網(wǎng)絡(luò)數(shù)據(jù)的辦法就是，增添網(wǎng)絡(luò)會話、威脅指標及其他細節(jié)方面的詳細信息，有助于分析員了解低層安全數(shù)據(jù)方面的更全面情況。

　　大數(shù)據(jù)分析平臺如何收集收據(jù)是要考慮的另一個關(guān)鍵方面。收集數(shù)據(jù)所需的時間給檢測安全事件有多快設(shè)定了下限。數(shù)據(jù)收集點的位置決定了所收集數(shù)據(jù)的寬度和類型。比如說，Cybereason平臺部署了在端點設(shè)備操作系統(tǒng)的用戶空間中運行的傳感器，因而可以在不影響用戶體驗或更低層內(nèi)核功能的情況下收集數(shù)據(jù)。設(shè)備未連接到企業(yè)網(wǎng)絡(luò)時，Cybereason傳感器照樣可以收集數(shù)據(jù)。

　　安全分析工具

　　大數(shù)據(jù)安全分析工具應(yīng)該可以擴展，以適應(yīng)企業(yè)生成的數(shù)據(jù)量。與此同時，分析員應(yīng)該能夠在考慮到信息安全視角的抽象層面查詢事件數(shù)據(jù)。

　　Fortscale采用了統(tǒng)稱為數(shù)據(jù)科學技術(shù)的機器學習和統(tǒng)計分析，以適應(yīng)安全環(huán)境方面的變化。這些技術(shù)讓Fortscale得以基于數(shù)據(jù)，而不是僅僅基于預(yù)定義的規(guī)則來開展分析工作。網(wǎng)絡(luò)上的基準行為發(fā)生變化時，機器學習算法就能檢測到變化，更新固定的規(guī)則集，不需要人類的干預(yù)。

　　RSA Security Analytics包括了預(yù)定義的報告和規(guī)則，讓分析員能夠迅速開始充分利用大數(shù)據(jù)分析SIEM系統(tǒng)收集的數(shù)據(jù)。

　　安全分析還高度依賴惡意活動方面的情報。RSA Security Analytics包括的RSA Live服務(wù)可將數(shù)據(jù)處理和關(guān)聯(lián)規(guī)則發(fā)送到部署的RSA Security Analytics系統(tǒng)。這些新規(guī)則可用來分析實時發(fā)來的新數(shù)據(jù)和存儲在RSA Security Analytics系統(tǒng)上的歷史數(shù)據(jù)。與Fortscale一樣，RSA Security Analytics也使用數(shù)據(jù)科學技術(shù)，提高分析質(zhì)量。

　　與此同時，LogRhythm的分析工作流包括數(shù)據(jù)處理、機器分析和取證分析這三個階段。處理這個步驟以多種方式轉(zhuǎn)換數(shù)據(jù)，提高從原始數(shù)據(jù)檢測到有用模式的可能性。這個處理包括時間規(guī)范、數(shù)據(jù)分類、元數(shù)據(jù)標記和風險上下文分析。

　　合規(guī)報告、警報和監(jiān)控

　　某種類型的合規(guī)報告是如今大多數(shù)企業(yè)要求的一項必備功能。有必要知道這一點：企業(yè)組織在考慮的那種大數(shù)據(jù)安全平臺內(nèi)置的報告方法要滿足其特定的合規(guī)要求。

　　IBM Security QRadar Risk Manager附件提供了管理網(wǎng)絡(luò)設(shè)備配置，以支持合規(guī)和風險管理的工具。Risk Manager附件的功能包括：自動監(jiān)控、支持多家廠商產(chǎn)品的審計、合規(guī)策略評估以及威脅建模。

　　如上所述，F(xiàn)ortscale使用機器學習算法，不斷評估基準活動方面的變化，檢測異常事件。系統(tǒng)檢測到這些事件后，可以發(fā)出警報，并提供關(guān)于事件的上下文信息。

　　RSA Security Analytics本身隨帶近90種模板，以滿足《薩班斯-奧克斯利法案》(SOX)、《健康保險可攜性及責任性法案》(HIPAA)、支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)等法規(guī)的報告要求，最終用戶基本上不需要費太大的勁，

　　SIEM系統(tǒng)中的報告和警報機制在日益完成，支持的對象絕不僅限于固定報告和簡單警報。比如說，Cybereason平臺經(jīng)過了特別設(shè)計，可以自動檢測惡意活動。該平臺提供了一個調(diào)查控制臺，可以匯總信息，并直觀地顯示攻擊時間表、受影響的用戶和設(shè)備。

　　Splunk Enterprise Security通過包括關(guān)鍵的安全和性能指標以及趨勢指標的儀表板，可以實現(xiàn)持續(xù)監(jiān)控。該平臺還支持確定優(yōu)先級的工作流。Splunk平臺還支持跟蹤高優(yōu)先級用戶，并報告試圖訪問關(guān)鍵應(yīng)用程序的活動。

　　Hawkeye AP隨帶400個報告，這些報告可以根據(jù)特定的需求來加以改動。由于Hawkeye AP使用關(guān)系數(shù)據(jù)庫技術(shù)，除了ODBC和JDBC驅(qū)動程序外，還支持ANSI Standard SQL，有一個選項：可以使用得到廣泛采用的企業(yè)報告工具來創(chuàng)建自定義報告。

　　除了實時報告儀表板外，LogRhythm的平臺還包括針對風險大小確定了優(yōu)先級的警報和標準報告。它還包括供取證分析員使用的額外工具，包括：案例管理工具、證據(jù)鎖柜和事件跟蹤度量指標。

　　大數(shù)據(jù)安全分析工具的功能

　　大數(shù)據(jù)安全分析工具能夠分析多種類型的數(shù)據(jù)，同時還可以處理大量數(shù)據(jù)。并非所有的企業(yè)組織都需要如今的大數(shù)據(jù)安全分析產(chǎn)品具有的所有功能，不過如果企業(yè)在尋求下一款重要工具來確保企業(yè)數(shù)據(jù)安全，應(yīng)考慮大數(shù)據(jù)安全分析工具所扮演的角色。

　　對于大企業(yè)和需要保留詳細的事件數(shù)據(jù)的企業(yè)來說，IBM QRadar是個合理的選擇。該平臺能夠擴展到PB級規(guī)模，這對這類企業(yè)來說將是一大亮點。Hawkeye AP的數(shù)據(jù)倉庫模型和使用列式存儲將商業(yè)智能報告功能帶給了信息安全人員，因而需要高級報告或自定義報告功能時，它是值得考慮的平臺。如果在設(shè)備離線的情況下需要繼續(xù)獲取事件數(shù)據(jù)，應(yīng)該考慮Cybereason。與此同時，RSA Security Analytics和LogRhythm的安全情報平臺很適合數(shù)據(jù)類型眾多的使用場合。Splunk提供了一系列廣泛的數(shù)據(jù)源連接件，因而對擁有大量數(shù)據(jù)源的企業(yè)來說是另一個不錯的選擇。

　　大數(shù)據(jù)安全分析工具對大企業(yè)來說可能更有吸引力，但是隨著這類工具的成本和復(fù)雜性不斷降低，中等規(guī)模的企業(yè)、最終乃至小公司也會開始獲得這項技術(shù)帶來的好處。