尋找大數(shù)據(jù)時代下的SIEM變革之道
原創(chuàng)今年,大數(shù)據(jù)技術在全球企業(yè)中被大規(guī)模采用,但與此同時,大數(shù)據(jù)技術的應用也給安全管理帶來新的挑戰(zhàn),高達83%的企業(yè)遭受過高級持續(xù)威脅的攻擊。
面對大數(shù)據(jù)環(huán)境下企業(yè)面臨的安全問題,如何在第一時間通過SIEM平臺幫助企業(yè)做出風險決策?傳統(tǒng)的安全信息與事件管理(SIEM)在大數(shù)據(jù)環(huán)境下有何不足?隨著大數(shù)據(jù)應用的逐步深入,SIEM將發(fā)生新的變革,并迎來更多發(fā)展機遇。
大數(shù)據(jù)系統(tǒng)凸顯安全互聯(lián)價值
在今天這個大數(shù)據(jù)時代,安全架構正變得更加復雜,由此增加了企業(yè)管理的復雜度。在這樣的架構下,如果架構之間互相割裂,我們便無法在每一個單獨的系統(tǒng)中獲取有價值的威脅信息,從而形成報警。攻擊者由此得以不斷嘗試安全漏洞,竊取需要的信息。反之,如果有安全互聯(lián),那么,任何一個看似不起眼的安全事件都可以跟其他不相關的事件整合在一起,形成報警。這樣一來,攻擊者無法再輕易嘗試,因為他的每一次嘗試都可能形成一個整體報警。
安全互聯(lián)平臺什么樣?邁克菲資深信息安全專家程智力表示,今天的IT環(huán)境下,企業(yè)需要對無邊界網絡進行識別。安全互聯(lián)平臺,首先是需要可視,了解網絡里有什么,需要類似于監(jiān)視器和攝像頭的系統(tǒng);第二是做及時的響應,面對問題要實時有效的響應;最后是持續(xù)的管理。在大數(shù)據(jù)的環(huán)境下做持續(xù)的安全管理和響應,靠人工管理會是個沉重的負擔,不過如果基于技術手段和平臺來做則會輕松很多,而做到這一點最基礎的就是安全互聯(lián)。
在整個安全互聯(lián)平臺架構中,實現(xiàn)可視性并實施預警是其中一個重要的基礎環(huán)節(jié),安全信息與事件管理系統(tǒng)(SIEM)至關重要。傳統(tǒng)SIEM僅關注報告和合規(guī),但在今天的威脅環(huán)境下,傳統(tǒng)的SIEM顯然力不從心。我們需要更全面地了解整個網絡的異常情況,在應用層了解數(shù)據(jù)偷竊如何發(fā)生,并對協(xié)議層和文檔層進行更多保護。在邁克菲亞太區(qū)副總裁兼首席技術官Michael Sentonas看來,將以上功能進行整合,結合威脅信息數(shù)據(jù)庫,并對終端、網絡、數(shù)據(jù)庫中的安全數(shù)據(jù)進行實時分析,這將會成為未來SIEM產品和解決方案具有革命性的創(chuàng)新方向。
邁克菲下一代SIEM之道
4年前,邁克菲的產品已能實現(xiàn)100%的集成和整合,邁克菲由此正式提出安全互聯(lián)概念。邁克菲安全互聯(lián)的總目標是將所有產品整合集成,實現(xiàn)在單一管理控制臺上對不同策略進行管理。安全互聯(lián)平臺的推出則是其整個安全互聯(lián)戰(zhàn)略中具有革命性的一步,它可將不同技術做更好的整合,做實時智能威脅信息分析,并更好地針對這些攻擊進行響應。
邁克菲安全互聯(lián)平臺(SCP)包含硬件架構層、數(shù)據(jù)/自動化層、安全管理平臺、應對措施層和數(shù)據(jù)分析層。其中,在硬件方面,邁克菲推出深度安全保護架構——Deep SAFE架構,結合母公司英特爾的主動管理技術,能實現(xiàn)基于硬件級別操作系統(tǒng)之下的安全保護。在安全互聯(lián)平臺中,邁克菲下一代SIEM Nitro系統(tǒng)的作用舉足輕重,如果說管理平臺是架構、底盤,那么Nitro就是發(fā)動機,是關聯(lián)所有部件最核心的部位。Nitro可把不同安全管理的系統(tǒng)、事件進行有效的收集整理,并進行標準化,再按照邁克菲安全專家所提出的關聯(lián)建議及企業(yè)自身安全風險情況,將其整合成比較容易理解的安全警報,即把安全威脅數(shù)據(jù)(機器語言)轉化成可以被理解的語言。
邁克菲安全互聯(lián)平臺(SCP)
與傳統(tǒng)SIEM相比,下一代SIEM究竟有何不同?程智力表示,邁克菲下一代SIEM的最大改變是性能。傳統(tǒng)SIEM并不是為大數(shù)據(jù)的安全時代所設計,其數(shù)據(jù)庫采用的有扁平的文件類型的數(shù)據(jù),也有關系類型的數(shù)據(jù)。扁平的文件類型的數(shù)據(jù)庫,可以很快寫入,但索引能力很差,在做查詢或分析時,效率很低。關系型數(shù)據(jù)庫索引做得不錯,但讀寫速度慢。大數(shù)據(jù)時代,我們每秒鐘看到的事件是海量的,這是傳統(tǒng)的SIEM遠遠不能應對的。下一代SIEM有非常好的專屬數(shù)據(jù)庫,既能夠很快的讀寫數(shù)據(jù),又能夠實現(xiàn)快速查詢,由此能應對大數(shù)據(jù)安全時代的特點;下一代SIEM與傳統(tǒng)SIEM的不同之處還在于,傳統(tǒng)SIEM更多是對事件進行收集,并加以呈現(xiàn),很少做數(shù)據(jù)深度挖掘和關聯(lián),而下一代SIEM能識別更多上下文信息和數(shù)據(jù)背景,傳統(tǒng)SIEM看到的往往是時間、地點、目標、IP地址,是枯燥的孤立的事件描述,卻沒有更多的反映出事件來自于什么用戶,沒有物理信息,也沒有描述這些事件跟互聯(lián)網上的安全事件的關聯(lián),下一代的SIEM呈現(xiàn)的背景信息則包括:目標主機的操作系統(tǒng)及風險情況、事件操作的用戶、該用戶在進行該事件時的應用程序是什么,物理位置是什么。目前,能看到的風險多是基于某一個應用的,很少有單獨的基于操作系統(tǒng)的攻擊,只有識別應用才能做到更深入的分析和安全呈現(xiàn)。
