大數(shù)據(jù)話題在安全圈子中的討論是這樣的：如果企業(yè)把自己的與安全有關(guān)的事件數(shù)據(jù)與商務(wù)信息庫(kù)結(jié)合起來(lái)，企業(yè)就能夠分析這個(gè)大數(shù)據(jù)以便抓住設(shè)法竊取敏感信息的入侵者。

這個(gè)從安全角度對(duì)大數(shù)據(jù)的觀察希望企業(yè)應(yīng)用基于開(kāi)源軟件Hadoop的龐大的數(shù)據(jù)庫(kù)。這將導(dǎo)致在IT部門出現(xiàn)一個(gè)圍繞Hadoop的新型的“數(shù)據(jù)科學(xué)家”的職位。安全專業(yè)人員和分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生以安全為重點(diǎn)數(shù)據(jù)科學(xué)家。這些數(shù)據(jù)科學(xué)家將利用工具和知識(shí)準(zhǔn)確地找到設(shè)法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊。

在復(fù)雜的網(wǎng)絡(luò)中抓住網(wǎng)絡(luò)竊賊已經(jīng)證明是很困難的。“大數(shù)據(jù)”將提供新的希望。但是，“大數(shù)據(jù)”能保證做到嗎?

咨詢機(jī)構(gòu)企業(yè)管理協(xié)會(huì)的分析師斯科特·克勞福德(Scott Crawford)也這樣認(rèn)為。他在舊金山舉行的RSA會(huì)議關(guān)于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強(qiáng)安全的分析師小組討論會(huì)上說(shuō)：“統(tǒng)計(jì)分析將識(shí)別出異常情況，但是，統(tǒng)計(jì)分析不理解安全。”

克勞福德預(yù)計(jì)最終將出現(xiàn)一個(gè)大數(shù)據(jù)的“安全算法市場(chǎng)”。他指出，Red Lambda和Palantir等公司目前正在解決這個(gè)問(wèn)題。它們利用大量的算術(shù)分析以發(fā)現(xiàn)異常情況。

對(duì)于網(wǎng)絡(luò)內(nèi)部行為正常網(wǎng)絡(luò)用戶來(lái)說(shuō)，企圖隱藏起來(lái)的惡毒的攻擊者一種異常行為。攻擊者通常隱藏在正常用戶的后面。Gartner分析師尼爾·麥克唐納德(Neil MacDonald)在RSA小組會(huì)上發(fā)言稱，目前，隱蔽的攻擊者正在通過(guò)傳統(tǒng)的防御措施，如入侵防御系統(tǒng)、防火墻和殺毒軟件。

麥克唐納德稱，這些滲透和竊取高度敏感數(shù)據(jù)的災(zāi)難性的攻擊有時(shí)候稱作“高級(jí)的持續(xù)威脅”(APT)。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡(luò)中的人類演員實(shí)施的。我們還不知道在網(wǎng)絡(luò)中“好的”和“壞的”行為是什么樣子。他指出，你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”。

分析師認(rèn)為，大數(shù)據(jù)正在為安全分析提供新的可能性。這意味著目前使用的安全工具、安全信息與事件管理以及類似的不能解決這個(gè)問(wèn)題的工具必須要發(fā)展。

麥克唐納德稱，在某種程度上，這種發(fā)展現(xiàn)在已經(jīng)開(kāi)始了。他是指RSA的威脅檢測(cè)產(chǎn)品NetWitness和惠普的ArcSight SIM。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱，他們將用新的方式解決APT問(wèn)題。

但是，SIEM(安全信息和事件管理)的發(fā)展能夠處理與商務(wù)有關(guān)的大數(shù)據(jù)嗎?這個(gè)整個(gè)想法是不是一個(gè)愉快的假象?這個(gè)整個(gè)想法就是把更多的商務(wù)數(shù)據(jù)添加到來(lái)自各種防火墻、服務(wù)器、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關(guān)于入侵者的情報(bào)。

市場(chǎng)研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱，人們不能從SIEM工具中得到自己需要的答案。他表示將會(huì)出現(xiàn)一些新的東西。SIEM工具將是這些新東西的一部分。

在參加RSA小組討論會(huì)的分析師中，企業(yè)戰(zhàn)略集團(tuán)(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂(lè)觀的。他認(rèn)為大數(shù)據(jù)是解決APT問(wèn)題的答案。

奧爾特辛克發(fā)表評(píng)論稱，我擔(dān)心的問(wèn)題是我們將獲取更多的數(shù)據(jù)，但是不知道用這些數(shù)據(jù)做什么。企業(yè)中的首席信息安全官目前還沒(méi)有宣傳大數(shù)據(jù)將促進(jìn)安全的想法。他說(shuō)：“當(dāng)我與首席信息安全官談話并且問(wèn)到有關(guān)大數(shù)據(jù)的問(wèn)題時(shí)，他們只是笑一笑。”

不過(guò)，一些大數(shù)據(jù)安全方法的早期應(yīng)用者也表示有希望。

Zions Bancorporation公司已經(jīng)建立了一個(gè)大型數(shù)據(jù)庫(kù)，對(duì)實(shí)時(shí)安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進(jìn)行預(yù)防性的分析，以便識(shí)別釣魚(yú)攻擊，防止詐騙和阻止黑客入侵。這個(gè)數(shù)據(jù)庫(kù)是在去年10月發(fā)布的，是以Zettaset數(shù)據(jù)庫(kù)為基礎(chǔ)的。這個(gè)數(shù)據(jù)庫(kù)利用Hadoop工具數(shù)據(jù)密集型的分布式應(yīng)用的分析。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強(qiáng)SIM工具的一種方法并且為了安全目的分析大量的歷史的商務(wù)數(shù)據(jù)。

包括NetIQ在內(nèi)的SIEM廠商表示，他們知道，有關(guān)大數(shù)據(jù)和安全的議論才剛剛開(kāi)始。

NetIQ產(chǎn)品管理主管馬特·尤萊里(Matt Ulery)稱，這是SIEM的發(fā)展方向。他說(shuō)，這個(gè)行業(yè)正在通過(guò)集成商務(wù)智能開(kāi)始重新發(fā)明SIEM技術(shù)。大數(shù)據(jù)能夠檢測(cè)到異常情況。尤萊里指出，該公司的Sentinel 7.0集成了更多的數(shù)據(jù)環(huán)境。

尤萊里針對(duì)攻擊者將接管一個(gè)賬戶的事情問(wèn)到：“你如何定義好的行為?因此，這個(gè)問(wèn)題就是那是一位員工，還是一個(gè)攻擊者?”隱蔽的攻擊行動(dòng)最多每天會(huì)出現(xiàn)幾秒鐘。因此，這個(gè)目標(biāo)就是區(qū)分可信賴的內(nèi)部人員和攻擊者。大數(shù)據(jù)在這方面會(huì)提供許多幫助。

但是，尤萊里補(bǔ)充說(shuō)，有許多現(xiàn)實(shí)的理由說(shuō)明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙。

一個(gè)現(xiàn)實(shí)的障礙是目前把企業(yè)數(shù)據(jù)放在云計(jì)算中的努力。這將使傳統(tǒng)的SIEM方法更加困難。SIEM方法一直在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用。另一個(gè)障礙是對(duì)大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級(jí)的技術(shù)。在還有許其它的多企業(yè)問(wèn)題需要解決的時(shí)代，增加大數(shù)據(jù)問(wèn)題可能是一個(gè)很難說(shuō)服人的問(wèn)題。目前，在工作場(chǎng)所使用自己的移動(dòng)設(shè)備已經(jīng)是企業(yè)的一個(gè)重大的管理問(wèn)題。