在不久的將來，大數(shù)據(jù)安全分析工具會(huì)變得像惡意軟件檢測(cè)和安全漏洞掃描工具一樣常見。那是由于，這種平臺(tái)讓企業(yè)得以獲取來自多個(gè)不同數(shù)據(jù)源的數(shù)據(jù)，以近實(shí)時(shí)的方式整合那些數(shù)據(jù)，分析模式、檢測(cè)惡意活動(dòng)，并且監(jiān)控、報(bào)告和進(jìn)行取證分析調(diào)查。

　　

 

　　本文重點(diǎn)介紹了幾家領(lǐng)先的大數(shù)據(jù)安全分析工具廠商的一些最重要的功能特性，對(duì)照了獲得這種平臺(tái)的全部好處必不可少的五個(gè)必要因素，這些廠商包括Cybereason、Fortscale、Hexis Cyber Solutions、IBM、LogRhythm、RSA和Splunk。這五個(gè)因素包括如下：

　　·統(tǒng)一的數(shù)據(jù)管理

　　·支持多種類型的數(shù)據(jù)，包括日志、安全漏洞和網(wǎng)絡(luò)流

　　·可擴(kuò)展的數(shù)據(jù)獲取

　　·專門針對(duì)信息安全的分析工具

　　·合規(guī)報(bào)告

　　統(tǒng)一的數(shù)據(jù)管理

　　統(tǒng)一的數(shù)據(jù)管理可謂是大數(shù)據(jù)安全分析產(chǎn)品的基石，而數(shù)據(jù)管理平臺(tái)負(fù)責(zé)存儲(chǔ)和查詢整個(gè)企業(yè)的數(shù)據(jù)。它還得兼顧數(shù)據(jù)管理功能與成本和可擴(kuò)展性。

　　由于Hadoop是一種廣泛使用的大數(shù)據(jù)管理平臺(tái)和相關(guān)生態(tài)系統(tǒng)，看到它用作許多大數(shù)據(jù)安全分析平臺(tái)的基礎(chǔ)不足為奇。比如說，F(xiàn)ortscale就使用Cloudera Hadoop發(fā)行版。這樣一來，新節(jié)點(diǎn)添加到集群中后，F(xiàn)ortscale平臺(tái)就可以實(shí)現(xiàn)線性擴(kuò)展。

　　IBM的QRadar使用一種分布式數(shù)據(jù)管理系統(tǒng)，該系統(tǒng)提供了橫向擴(kuò)展數(shù)據(jù)存儲(chǔ)這種功能。在一些情況下，分布式安全信息管理系統(tǒng)(SIEM)可能只需要訪問本地?cái)?shù)據(jù)，但是在一些情況下(尤其是取證分析)，用戶可能需要跨分布式平臺(tái)來搜索數(shù)據(jù)。IBM QRadar還集成了一個(gè)搜索引擎，它既可以本地搜索，又可以跨平臺(tái)搜索。與此同時(shí)，該大數(shù)據(jù)SIEM使用數(shù)據(jù)節(jié)點(diǎn)，而不是存儲(chǔ)區(qū)域網(wǎng)(SAN)，這有助于盡量降低成本和管理復(fù)雜性。這種基于數(shù)據(jù)節(jié)點(diǎn)的分布式存儲(chǔ)模式可以擴(kuò)展，支持?jǐn)?shù)PB的存儲(chǔ)空間――那些企業(yè)組織需要大量的長(zhǎng)期存儲(chǔ)。

　　RSA Security Analytics也采用了一種分布式聯(lián)合架構(gòu)來支持線性擴(kuò)展。擴(kuò)展以支持大量數(shù)據(jù)時(shí)，RSA工具中的分析工作流可滿足一個(gè)關(guān)鍵需求：確定事件和任務(wù)的優(yōu)先級(jí)，提高分析效率。

　　Hexis Cyber Solutions公司的Hawkeye分析平臺(tái)(Hawkeye AP)基于一個(gè)數(shù)據(jù)倉庫平臺(tái)，專門分析安全事件數(shù)據(jù)。除了擁有可擴(kuò)展的低層數(shù)據(jù)管理功能(比如能夠?qū)⒋罅繑?shù)據(jù)存儲(chǔ)在多臺(tái)服務(wù)器上的文件中)外，擁有以結(jié)構(gòu)化方式查詢數(shù)據(jù)的工具也很重要。Hawkeye AP經(jīng)過了優(yōu)化，以一種分時(shí)方式來存儲(chǔ)數(shù)據(jù)，因而不需要全局重建索引。它還被設(shè)計(jì)成一種只讀數(shù)據(jù)庫。這便于優(yōu)化性能，但是更為重要的是，它確保數(shù)據(jù)一旦被寫入，不會(huì)被篡改。值得一提的是，Hawkeye AP使用了針對(duì)分析應(yīng)用經(jīng)過優(yōu)化的列式數(shù)據(jù)存儲(chǔ)，而不是行式存儲(chǔ)。

　　支持多種類型的數(shù)據(jù)

　　數(shù)量、速度和種類是經(jīng)常用來描述大數(shù)據(jù)的三個(gè)術(shù)語。諸多種類的安全事件數(shù)據(jù)給大數(shù)據(jù)安全分析產(chǎn)品在數(shù)據(jù)整合方面帶來了諸多挑戰(zhàn)。

　　RSA Security Analytics的解決之道是采用一種模塊化架構(gòu)，從而在保持能夠添加其他數(shù)據(jù)源的同時(shí)，還能夠獲取多種類型的數(shù)據(jù)。該平臺(tái)旨在可以獲取大量的完整網(wǎng)絡(luò)數(shù)據(jù)包、NetFlow數(shù)據(jù)、端點(diǎn)數(shù)據(jù)和日志。

　　有時(shí)候，多種類型的數(shù)據(jù)就意味著使用多款安全工具。比如說，IBM的QRadar就有一個(gè)安全漏洞管理器組件，該組件旨在整合來自眾多安全漏洞掃描器的數(shù)據(jù)，然后為該數(shù)據(jù)補(bǔ)充網(wǎng)絡(luò)使用方面的上下文相關(guān)信息。IBM Security QRadar Incident Forensics是另一個(gè)專用模塊，可使用網(wǎng)絡(luò)流數(shù)據(jù)和完整數(shù)據(jù)包捕獲技術(shù)，分析安全事件。該取證分析工具包括一個(gè)擴(kuò)展后可支持?jǐn)?shù)TB網(wǎng)絡(luò)數(shù)據(jù)的搜索引擎。

　　LogRhythm的安全情報(bào)平臺(tái)(Security Intelligence Platform)是大數(shù)據(jù)安全分析平臺(tái)廣泛支持眾多數(shù)據(jù)類型的另一個(gè)例子，包括系統(tǒng)日志、安全事件、審計(jì)日志、機(jī)器數(shù)據(jù)、應(yīng)用程序日志和網(wǎng)絡(luò)流數(shù)據(jù)。該平臺(tái)可分析來自這些數(shù)據(jù)源的原始數(shù)據(jù)，生成文件完整性、進(jìn)程活動(dòng)、網(wǎng)絡(luò)通信、用戶和活動(dòng)等方面的第二層數(shù)據(jù)。

　　Splunk Enterprise Security讓分析員得以搜索數(shù)據(jù)，并執(zhí)行可視化關(guān)聯(lián)，以此識(shí)別惡意事件，并收集那些事件的上下文方面的數(shù)據(jù)。

　　可擴(kuò)展的數(shù)據(jù)獲取

　　大數(shù)據(jù)分析安全產(chǎn)品必須獲取來自服務(wù)器、端點(diǎn)設(shè)備、網(wǎng)絡(luò)及狀態(tài)不斷變化的其他基礎(chǔ)設(shè)施部件的數(shù)據(jù)。這個(gè)數(shù)據(jù)獲取環(huán)節(jié)的主要風(fēng)險(xiǎn)在于，無法應(yīng)對(duì)不斷涌入的數(shù)據(jù)。

　　大數(shù)據(jù)安全分析工具在處理大量數(shù)據(jù)的同時(shí)，還能夠分析眾多類型的數(shù)據(jù)。

　　Splunk因廣泛的數(shù)據(jù)獲取功能而大受好評(píng)。該平臺(tái)不僅提供了連接到數(shù)據(jù)源的連接件，還支持自定義連接件。數(shù)據(jù)在獲取后以無模式(schema-less)的方式來存儲(chǔ)并索引，因而支持不同類型的數(shù)據(jù)，同時(shí)仍提供快速的查詢響應(yīng)。

　　至于IBM QRadar，它可以從單個(gè)設(shè)備的部署擴(kuò)展到地域分散的系統(tǒng)。與本文介紹的其他工具一樣，這款大數(shù)據(jù)產(chǎn)品旨在滿足大企業(yè)的需求。IBM QRadar在實(shí)際的應(yīng)用環(huán)境中被用來處理每秒數(shù)十萬個(gè)事件。小公司或剛開始使用IBM QRadar的企業(yè)可能會(huì)把該系統(tǒng)部署在云環(huán)境，盡量減少基礎(chǔ)設(shè)施管理。混合部署也不無可能。那樣，事件和網(wǎng)絡(luò)流可在云端處理，只有整理后的事件數(shù)據(jù)發(fā)回到本地系統(tǒng)。

　　另一種重要的整合類型就是數(shù)據(jù)增強(qiáng)(data augmentation)。數(shù)據(jù)增強(qiáng)是指這個(gè)過程：收集事件數(shù)據(jù)時(shí)，為它增添上下文信息。比如說，RSA Security Analytics增強(qiáng)所分析的網(wǎng)絡(luò)數(shù)據(jù)的辦法就是，增添網(wǎng)絡(luò)會(huì)話、威脅指標(biāo)及其他細(xì)節(jié)方面的詳細(xì)信息，有助于分析員了解低層安全數(shù)據(jù)方面的更全面情況。

　　大數(shù)據(jù)分析平臺(tái)如何收集收據(jù)是要考慮的另一個(gè)關(guān)鍵方面。收集數(shù)據(jù)所需的時(shí)間給檢測(cè)安全事件有多快設(shè)定了下限。數(shù)據(jù)收集點(diǎn)的位置決定了所收集數(shù)據(jù)的寬度和類型。比如說，Cybereason平臺(tái)部署了在端點(diǎn)設(shè)備操作系統(tǒng)的用戶空間中運(yùn)行的傳感器，因而可以在不影響用戶體驗(yàn)或更低層內(nèi)核功能的情況下收集數(shù)據(jù)。設(shè)備未連接到企業(yè)網(wǎng)絡(luò)時(shí)，Cybereason傳感器照樣可以收集數(shù)據(jù)。

　　安全分析工具

　　大數(shù)據(jù)安全分析工具應(yīng)該可以擴(kuò)展，以適應(yīng)企業(yè)生成的數(shù)據(jù)量。與此同時(shí)，分析員應(yīng)該能夠在考慮到信息安全視角的抽象層面查詢事件數(shù)據(jù)。

　　Fortscale采用了統(tǒng)稱為數(shù)據(jù)科學(xué)技術(shù)的機(jī)器學(xué)習(xí)和統(tǒng)計(jì)分析，以適應(yīng)安全環(huán)境方面的變化。這些技術(shù)讓Fortscale得以基于數(shù)據(jù)，而不是僅僅基于預(yù)定義的規(guī)則來開展分析工作。網(wǎng)絡(luò)上的基準(zhǔn)行為發(fā)生變化時(shí)，機(jī)器學(xué)習(xí)算法就能檢測(cè)到變化，更新固定的規(guī)則集，不需要人類的干預(yù)。

　　RSA Security Analytics包括了預(yù)定義的報(bào)告和規(guī)則，讓分析員能夠迅速開始充分利用大數(shù)據(jù)分析SIEM系統(tǒng)收集的數(shù)據(jù)。

　　安全分析還高度依賴惡意活動(dòng)方面的情報(bào)。RSA Security Analytics包括的RSA Live服務(wù)可將數(shù)據(jù)處理和關(guān)聯(lián)規(guī)則發(fā)送到部署的RSA Security Analytics系統(tǒng)。這些新規(guī)則可用來分析實(shí)時(shí)發(fā)來的新數(shù)據(jù)和存儲(chǔ)在RSA Security Analytics系統(tǒng)上的歷史數(shù)據(jù)。與Fortscale一樣，RSA Security Analytics也使用數(shù)據(jù)科學(xué)技術(shù)，提高分析質(zhì)量。

　　與此同時(shí)，LogRhythm的分析工作流包括數(shù)據(jù)處理、機(jī)器分析和取證分析這三個(gè)階段。處理這個(gè)步驟以多種方式轉(zhuǎn)換數(shù)據(jù)，提高從原始數(shù)據(jù)檢測(cè)到有用模式的可能性。這個(gè)處理包括時(shí)間規(guī)范、數(shù)據(jù)分類、元數(shù)據(jù)標(biāo)記和風(fēng)險(xiǎn)上下文分析。

　　合規(guī)報(bào)告、警報(bào)和監(jiān)控

　　某種類型的合規(guī)報(bào)告是如今大多數(shù)企業(yè)要求的一項(xiàng)必備功能。有必要知道這一點(diǎn)：企業(yè)組織在考慮的那種大數(shù)據(jù)安全平臺(tái)內(nèi)置的報(bào)告方法要滿足其特定的合規(guī)要求。

　　IBM Security QRadar Risk Manager附件提供了管理網(wǎng)絡(luò)設(shè)備配置，以支持合規(guī)和風(fēng)險(xiǎn)管理的工具。Risk Manager附件的功能包括：自動(dòng)監(jiān)控、支持多家廠商產(chǎn)品的審計(jì)、合規(guī)策略評(píng)估以及威脅建模。

　　如上所述，F(xiàn)ortscale使用機(jī)器學(xué)習(xí)算法，不斷評(píng)估基準(zhǔn)活動(dòng)方面的變化，檢測(cè)異常事件。系統(tǒng)檢測(cè)到這些事件后，可以發(fā)出警報(bào)，并提供關(guān)于事件的上下文信息。

　　RSA Security Analytics本身隨帶近90種模板，以滿足《薩班斯-奧克斯利法案》(SOX)、《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)等法規(guī)的報(bào)告要求，最終用戶基本上不需要費(fèi)太大的勁，

　　SIEM系統(tǒng)中的報(bào)告和警報(bào)機(jī)制在日益完成，支持的對(duì)象絕不僅限于固定報(bào)告和簡(jiǎn)單警報(bào)。比如說，Cybereason平臺(tái)經(jīng)過了特別設(shè)計(jì)，可以自動(dòng)檢測(cè)惡意活動(dòng)。該平臺(tái)提供了一個(gè)調(diào)查控制臺(tái)，可以匯總信息，并直觀地顯示攻擊時(shí)間表、受影響的用戶和設(shè)備。

　　Splunk Enterprise Security通過包括關(guān)鍵的安全和性能指標(biāo)以及趨勢(shì)指標(biāo)的儀表板，可以實(shí)現(xiàn)持續(xù)監(jiān)控。該平臺(tái)還支持確定優(yōu)先級(jí)的工作流。Splunk平臺(tái)還支持跟蹤高優(yōu)先級(jí)用戶，并報(bào)告試圖訪問關(guān)鍵應(yīng)用程序的活動(dòng)。

　　Hawkeye AP隨帶400個(gè)報(bào)告，這些報(bào)告可以根據(jù)特定的需求來加以改動(dòng)。由于Hawkeye AP使用關(guān)系數(shù)據(jù)庫技術(shù)，除了ODBC和JDBC驅(qū)動(dòng)程序外，還支持ANSI Standard SQL，有一個(gè)選項(xiàng)：可以使用得到廣泛采用的企業(yè)報(bào)告工具來創(chuàng)建自定義報(bào)告。

　　除了實(shí)時(shí)報(bào)告儀表板外，LogRhythm的平臺(tái)還包括針對(duì)風(fēng)險(xiǎn)大小確定了優(yōu)先級(jí)的警報(bào)和標(biāo)準(zhǔn)報(bào)告。它還包括供取證分析員使用的額外工具，包括：案例管理工具、證據(jù)鎖柜和事件跟蹤度量指標(biāo)。

　　大數(shù)據(jù)安全分析工具的功能

　　大數(shù)據(jù)安全分析工具能夠分析多種類型的數(shù)據(jù)，同時(shí)還可以處理大量數(shù)據(jù)。并非所有的企業(yè)組織都需要如今的大數(shù)據(jù)安全分析產(chǎn)品具有的所有功能，不過如果企業(yè)在尋求下一款重要工具來確保企業(yè)數(shù)據(jù)安全，應(yīng)考慮大數(shù)據(jù)安全分析工具所扮演的角色。

　　對(duì)于大企業(yè)和需要保留詳細(xì)的事件數(shù)據(jù)的企業(yè)來說，IBM QRadar是個(gè)合理的選擇。該平臺(tái)能夠擴(kuò)展到PB級(jí)規(guī)模，這對(duì)這類企業(yè)來說將是一大亮點(diǎn)。Hawkeye AP的數(shù)據(jù)倉庫模型和使用列式存儲(chǔ)將商業(yè)智能報(bào)告功能帶給了信息安全人員，因而需要高級(jí)報(bào)告或自定義報(bào)告功能時(shí)，它是值得考慮的平臺(tái)。如果在設(shè)備離線的情況下需要繼續(xù)獲取事件數(shù)據(jù)，應(yīng)該考慮Cybereason。與此同時(shí)，RSA Security Analytics和LogRhythm的安全情報(bào)平臺(tái)很適合數(shù)據(jù)類型眾多的使用場(chǎng)合。Splunk提供了一系列廣泛的數(shù)據(jù)源連接件，因而對(duì)擁有大量數(shù)據(jù)源的企業(yè)來說是另一個(gè)不錯(cuò)的選擇。

　　大數(shù)據(jù)安全分析工具對(duì)大企業(yè)來說可能更有吸引力，但是隨著這類工具的成本和復(fù)雜性不斷降低，中等規(guī)模的企業(yè)、最終乃至小公司也會(huì)開始獲得這項(xiàng)技術(shù)帶來的好處。