互联网如此发达的今天,每一秒都有一个新恶意软件样本产生,高达83%的企业遭受过高级持续威胁的攻击。大数据已经是广大企业所面临的巨大安全挑战,如果说安全风险=威胁×资产×漏洞,那么大数据时代,计算机网络安全风险正变得更加讳深莫测,这个公式恐怕要改为:安全风险=威胁×资产×漏洞+总数据量。
大数据时代的企业安全解决方案
2013年是企业大规模采用大数据技术的一年,Gartner发布的相关报告显示,42%的IT主管表示其所在的企业已经投资大数据技术或者将在一年内进行相关投资。从海量的低价值密度的结构化和非结构化数据中获取有价值的信息,显然已经成为企业IT收益的重要组成部分。与此同时,还没结束的2013年已经被人们扣上了“网络安全漏洞之年”的帽子。著名安全软件服务商迈克菲(McAfee)的全球消费市场副总裁Gary Davis在一篇博客文章中写道,截至到今年8月份,大量的网络攻击事件让众多企业,特别是金融机构损失高达数百万美元。从以报复为目的的“黑客行为”到非法信用卡诈骗,网络诈骗可谓无所不用其极。
对于大数据来讲,重点不是数据,而是应该如何处理这些数据——对这些数据进行分析获取所需要的情报信息,Gartner发布的这一言论同样被广泛认同。事实上,SIEM(安全信息和事件管理)本身就是为了应对数据处理能力不足这一根本问题。迈克菲副总裁兼亚太区首席技术官Michael Sentonas早些时候接受记者专访时也曾表示:“SIEM是智能安全系统中非常重要的领域。迈克菲的SIEM产品可将其全球威胁智能感知系统与应用、终端、网络、数据库等其他渠道信息进行整合,对安全数据进行实时分析。此外,IPS、防火墙等技术也被融入SIEM解决方案中。”以SIEM为平台的整合解决方案对不同攻击具有更高的可视度,让安全防护更加主动。
实时分析渗透整个网络
一些具有安全意识的行业,例如大型金融服务机构和政府机构早在初期已经采用SIEM,但直到 2005年左右,萨班斯-奥克斯利法案(Sarbanes Oxley) 审计通过之后才得到广泛应用并建立有效市场。合规审计不仅扩大了 SIEM的应用规模,还衍生了大量其他安全设备并提升了日志记录水平。在接受采访时,迈克菲亚太区SIEM解决方案实践经理Mason Hooper也表示,对于今天的安全威胁环境来说,传统的SIEM产品更多的只是关注日志并对其进行收集和分析,这显然是不够的。而是要实时掌控整个网络的异常情况,还需要关注应用层的安全。
从众多的报道中,我们能够看到一些机构组织在已经通过了据称基于严格合规标准的安全审计以后,仍然发生了灾难性的数据泄露,IT 安全防护亟需从按章照抄式的合规发展为覆盖外围、内部、数据和系统安全防护的全方位安全计划。为应对这些不断增加的安全控制手段,可谓是极富创新性和韧性的攻击者们同样提高了攻击方法的复杂度,因此,SIEM需要检测缓慢攻击,快速检测事件流异常,并获取相关的数据、应用程序和数据库上下文信息。而大数据包含的数据集规模过于庞大,拥有强大的数据分析能力的SIEM解决方案才得以胜任。
由于事件数据量持续成倍增加,攻击复杂度也越来越高,通过有关来源、资产、用户和数据智能态势感知的关系数据丰富事件数据将变得十分关键。另外,还需要在数据库架构中提供这类信息与事件流之间的实时关联。虽然许多SIEM 都具有这些功能,但由于数据库端的表限制,极少有 SIEM能够支持多个宽泛列表。同时,为避免分析性能下降,当用户请求获取信息时,许多 SIEM只是简单查找此信息,而不会进行实时关联和呈现。SIEM解决方案可以运用此类信息智能地创建准确、实时的风险分析图。
大数据环境下,仅仅是简单的事件流分析(只显示连接频率以及是否发生变化)已经不足以获得对真实态势的感知。当今的SIEM 需要动态情景,从而根据来源信誉、资产风险以及与之相关的数据、应用程序和数据库活动,识别用户行为变化并动态调节风险。动态分析是缓慢攻击检测的重要组成部分,大数据安全SIEM架构需要适应这种情况。
攻击检测和有效事件响应的另一个重要方面是能够分析历史事件数据。鉴于当今的攻击方法,SIEM解决方案能够访问数年的数据,从而快速定位模式和异常,同时在不影响性能的前提下开展实时分析。同时还能够与存储系统轻松集成并有效存储事件数据,以避免使用大量存储设备及产生巨额成本,其创新的架构可以支持频繁地同时使用实时功能和历史功能。
当发生事件数据增长超出预期峰值限制时,分析人员能否确定这种事件量增长是否由主动攻击引起将至关重要。专为大数据安全构建的SIEM不仅能够处理这些暴增情景,而且还能够将这些暴增情形纳入许可方案。相反,那些不了解这一问题的 SIEM将会在超出每秒事件量 (EPS)限制时丢弃事件或阻止分析人员访问控制台,在最关键的时刻禁止安全团队访问他们的主要态势感知工具。
大数据不仅对于机构是一项严峻挑战,对于安全团队同样提出了更高要求。过去,对于加强安全性的迫切需求一直驱使人们收集分析越来越多的事件和安全数据。随着安全数据量的不断上升,传统的SIEM产品更多的只是关注日志,对其进行收集和分析。对于今天的安全威胁环境来说,传统的SIEM功能显然是不够的。与大数据分析相结合,形成从数据收集分析到快速完成安全管理策略建议,这才是SIEM正在做的事情。
企业应提升自身抗风险能力
虽然安全软件服务商能够针对大数据时代的特点推出不错的安全解决方案,但是还不够。不管是不是处于大数据时代,企业用户都应强化自身的软件安全建设,减少系统和软件漏洞,以更好的抵御网络安全风险,在风险被放大的大数据时代更应如此。
针对目前的网络安全威胁,微软始终保持升级节奏,不断推出新一代Windows、Office等系统和软件,淘汰旧有的系统和应用软件。由于时代关系,包括Windows XP和Office 2003在内的众多软件在安全问题上不够重视,软件固有漏洞较多,不断推出升级补丁依然难以降低其安全风险。微软已经宣布Windows XP和Office 2003将在明年4月8日终止服务支持,用户尤其是企业用户应当及时放弃漏洞百出、失去安全服务支持的旧系统旧应用软件,升级到具备较好安全保证的新系统新软件,更好抵御网络安全风险。
除了应用软件和操作系统,不同类别的软件解决方案也是企业软件的重要组成部分,选择一个安全性更佳的解决方案也能提升大数据时代的抗风险能力。由于大数据和云计算的密切关系,云计算的安全风险已经成为了大数据安全风险。选择云计算和大数据解决方案之时,也应时刻记得该方案在安全上是否具备可行性。一个不重视企业安全的云计算或大数据解决方案将给这家企业带来不可估量的损失。此外,企业应当重视及时进行数据备份,并对备份数据进行较好保护,以便在遭遇不可抗风险时,依然具备较好的恢复能力,最大限度降低损失。
微软作为软件服务业巨头,利用自己的跨行业优势,将自己的诸多软件和解决方案紧密结合,推出了统一的应用程序和数据平台Cloud OS,作为一个跨数据中心和云的企业软件服务解决方案。这样的紧密结合使得软件解决方案更加统一、响应更加迅速,在安全上也具备强大的可靠性优势。统一的软件调度和数据响应使得整个系统在应对安全攻击时能及时作出响应,抵御或降低安全风险。
在互联网无处不在的今天,时刻注意安全防护,对所有互联网用户包括企业和普通用户都十分重要。只要做好安全防护,在大数据时代的互联网将给我们贡献更多价值,加快社会进步步伐,为人类造福。