論劍黃山，大數據時(shí)代信息安全需主動(dòng)

　　如今的世界處于“大數據”時(shí)代 — 安全大數據。了解難以察覺(jué)的安全威脅會(huì )耗費數天甚至數月的時(shí)間。大量的互不相干的數據流難以形成簡(jiǎn)明、有條理的事件“拼圖”。所采集和分析的數據量越大，看起來(lái)越混亂，重構事件所需的時(shí)間也越長(cháng)。如果攻擊快速且兇猛(例如拒絕服務(wù)攻擊或快速傳播的蠕蟲(chóng))，花數天或數月診斷問(wèn)題會(huì )帶來(lái)巨大的合規和財務(wù)影響。哪些資產(chǎn)真正處于威脅風(fēng)險中，哪些資產(chǎn)有補救控制或應對措施?為了回答這一問(wèn)題，管理員需要監控所有系統的安全狀況，包括訪(fǎng)問(wèn)其網(wǎng)絡(luò )的移動(dòng)設備和個(gè)人擁有設備， 并及時(shí)確定優(yōu)先級和補救措施。 研究報告證實(shí)，只有35%的企業(yè)可以快速檢測安全漏洞，多數商業(yè)機構都缺乏駕馭大數據的安全力量?，F在，企業(yè)安全信息和事件管理(SIEM)越來(lái)越受到重視。這種安全技術(shù)被視為一種飛躍，即采取主動(dòng)的安全分析和實(shí)時(shí)態(tài)勢感知，以大數據分析的方法，實(shí)現真正針對大數據的安全管理。

　　9月14日，邁克菲舉辦安全互聯(lián)高層研討會(huì )，吸引了來(lái)自電信、金融、制造業(yè)和高科技公司的30余名IT負責人和安全主管。會(huì )上，大家針對大數據時(shí)代下信息安全及安全事件管理展開(kāi)了熱烈討論。

　　現在，每周有近469,000個(gè)惡意軟件樣本產(chǎn)生，它們目標更明確，手段更隱蔽，持續時(shí)間更長(cháng)，有的甚至可以以一年、幾年作為周期，竊取機密數據;有高達83%的企業(yè)遭受過(guò)高級持續威脅攻擊……而僅以邁克菲為例，每天分析的病毒樣本數量，平均在十幾萬(wàn)單量級?？梢?jiàn)，在信息技術(shù)、云計算和大數據為整個(gè)IT及眾多行業(yè)帶來(lái)機會(huì )的同時(shí)，也為企業(yè)的信息安全提出了更高的要求。

　　邁克菲采用的EDB專(zhuān)利技術(shù)是SIEM的核心。EDB可以借助高度索引的專(zhuān)業(yè)數據庫，實(shí)現大規模高性能集成日志和事件采集。根據環(huán)境實(shí)時(shí)豐富完善數據，以獲取智能信息，并針對當前和歷史數據提供在線(xiàn)報告和分析?？焖夙憫瞧滹@著(zhù)特點(diǎn)。比如實(shí)例證明：在4核8G內存的相同環(huán)境下，傳統數據庫MYSQL， 后臺直接查詢(xún)760多萬(wàn)條數據，統計需要花費近37秒，抽取近千萬(wàn)級條數據時(shí)，花費43秒。而在同等硬件環(huán)境下， McAfee SIEM借助EDB技術(shù)處理6000萬(wàn)條數據量時(shí)，數量翻了數倍，但無(wú)論統計還是抽取，雖然涉及到前臺UI交換，但幾乎在幾秒內實(shí)時(shí)完成。

　　同時(shí)由于EDB無(wú)需DBA就可以進(jìn)行快速部署，無(wú)需進(jìn)行持續數據采集優(yōu)化，只需輕點(diǎn)鼠標就可以深入分析所需信息，并自動(dòng)關(guān)聯(lián)環(huán)境和事件，所有這一切將使企業(yè)花費更少的時(shí)間在管理上，充分提高運營(yíng)效率。

　　在邁克菲看來(lái)，大數據時(shí)代，傳統的事件發(fā)生后再進(jìn)行清理的模式已經(jīng)不適用。企業(yè)需要通過(guò)自動(dòng)化分析處理與深度挖掘，將成本高昂的被動(dòng)的、亡羊補牢式的事中、事后處理，轉變?yōu)槭虑白詣?dòng)評估預測，采取前瞻性、優(yōu)化的安全方法，讓安全防護主動(dòng)起來(lái)。

　　“企業(yè)也不能再孤立地解決安全難題，而是要構建綜合防御體系，全面覆蓋所有潛在威脅，”邁克菲安全專(zhuān)家在會(huì )上說(shuō)道。作為邁克菲安全互聯(lián)平臺發(fā)動(dòng)機和心臟的安全信息與事件管理，可將其全球威脅智能感知系統與應用、終端、網(wǎng)絡(luò )、數據庫等其它渠道信息進(jìn)行整合，對安全數據進(jìn)行實(shí)時(shí)分析。此外，IPS、防火墻等技術(shù)也被融入SIEM解決方案中，與其數據捕獲、關(guān)聯(lián)和分析功能相結合，以提高威脅跟蹤與風(fēng)險評估能力，從而實(shí)現實(shí)時(shí)協(xié)作、受控響應及精確報告。

　　受益于邁克菲的安全互聯(lián)策略，企業(yè)不會(huì )再是根據有限或孤立的數據來(lái)做出臨時(shí)性應對決策，而是在明確了解關(guān)聯(lián)事件及其對基礎設施的影響后，采取果斷行動(dòng)。包括三星，甲骨文，AIA在內的高科技企業(yè)，銀行，保險，政府和教育機構已經(jīng)采用邁克菲的SIEM解決方案。邁克菲正在幫助世界各地的諸多企業(yè)和機構快速做出安全決策提供堅實(shí)的判斷依據。

　　近年來(lái)以重要基礎設施為目標的網(wǎng)絡(luò )攻擊日益盛行，2012年伊朗核電站就遭受了火焰病毒的網(wǎng)絡(luò )攻擊。研討會(huì )上，來(lái)自邁克菲的安全專(zhuān)家，通過(guò)簡(jiǎn)單直觀(guān)的電機運行場(chǎng)景，演示了邁克菲如何通過(guò)SIEM監測以工業(yè)系統為目標的網(wǎng)絡(luò )攻擊，并結合動(dòng)態(tài)感知系統對企業(yè)實(shí)施有效保護。