SIEM需要具备四种大数据分析能力

现在，每一秒都有一个恶意软件新样本产生，高达83%的企业遭受过高级持续威胁的攻击…大数据不仅仅是客户所面临的挑战，对安全产品供应商也同样。如果说，风险等于威胁乘以资产再乘以漏洞，那么大数据时代，风险正变得更加讳深莫测。

　　2013年是企业大规模采用大数据技术的一年，Gartner发布的相关报告显示，42%的IT主管表示其所在的企业已经投资大数据技术或者将在一年内进行相关投资。从海量的低价值密度的结构化和非结构化数据中获取有价值的信息，显然已经成为企业IT收益的重要组成部分。与此同时，还没结束的2013年已经被人们扣上了“网络安全漏洞之年”的帽子。迈克菲全球消费市场副总裁Gary Davis在一篇博客文章中写道，截至到今年8月份，大量的网络攻击事件让众多企业，特别是金融机构损失高达数百万美元。从以报复为目的的“黑客行为”到非法信用卡诈骗，网络诈骗可谓无所不用其极。

　　对于大数据来讲，重点不是数据，而是应该如何处理这些数据——对这些数据进行分析获取所需要的情报信息，Gartner发布的这一言论同样被广泛认同。事实上，SIEM (安全信息和事件管理)本身就是为了应对数据处理能力不足这一根本问题。迈克菲副总裁兼亚太区首席技术官Michael Sentonas曾表示：“SIEM是智能安全系统中非常重要的领域。迈克菲的SIEM产品可将其全球威胁智能感知系统与应用、终端、网络、数据库等其他渠道信息进行整合，对安全数据进行实时分析。此外，IPS、防火墙等技术也被融入SIEM解决方案中。”以SIEM为平台的整合解决方案对不同攻击具有更高的可视度，让安全防护更加主动。

　　实时分析的强大性渗透整个网络

　　一些具有安全意识的行业，例如大型金融服务机构和政府机构早在初期已经采用 SIEM，但直到 2005 年左右，萨班斯-奥克斯利法案 (Sarbanes Oxley) 审计通过之后才得到广泛应用并建立有效市场。合规审计不仅扩大了 SIEM 的应用规模，还衍生了大量其他安全设备并提升了日志记录水平。迈克菲亚太区SIEM解决方案实践经理 Mason Hooper表示，对于今天的安全威胁环境来说，传统的SIEM产品更多的只是关注日志并对其进行收集和分析，这显然是不够的。而是要实时掌控整个网络的异常情况，还需要关注应用层的安全。

　　从众多的报道中，我们能够看到一些机构组织在已经通过了据称基于严格合规标准的安全审计以后，仍然发生了灾难性的数据泄露， IT 安全防护亟需从按章照抄式的合规发展为覆盖外围、内部、数据和系统安全防护的全方位安全计划。为应对这些不断增加的安全控制手段，可谓是极富创新性和韧性的攻击者们同样提高了攻击方法的复杂度，因此，迈克菲认为SIEM 需要检测缓慢攻击，快速检测事件流异常，并获取相关的数据、应用程序和数据库上下文信息。而大数据包含的数据集规模过于庞大，拥有强大的数据分析能力的SIEM解决方案才得以胜任。

　　关系数据可扩展性。由于事件数据量持续成倍增加，攻击复杂度也越来越高，通过有关来源、资产、用户和数据智能态势感知的关系数据丰富事件数据将变得十分关键。另外，还需要在数据库架构中提供这类信息与事件流之间的实时关联。虽然许多 SIEM 都具有这些功能，但由于数据库端的表限制，极少有 SIEM 能够支持多个宽泛列表。同时，为避免分析性能下降，当用户请求获取信息时，许多 SIEM只是简单查找此信息，而不会进行实时关联和呈现。

　　动态分析。大数据环境下，仅仅是简单的事件流分析(只显示连接频率以及是否发生变化)已经不足以获得对真实态势的感知。当今的 SIEM 需要动态情景，从而根据来源信誉、资产风险以及与之相关的数据、应用程序和数据库活动，识别用户行为变化并动态调节风险。动态分析是缓慢攻击检测的重要组成部分，大数据安全SIEM架构需要适应这种情况。

　　历史数据分析。攻击检测和有效事件响应的另一个重要方面是能够分析历史事件数据。鉴于当今的攻击方法，迈克菲SIEM 解决方案能够访问数年的数据，从而快速定位模式和异常，同时在不影响性能的前提下开展实时分析。同时还能够与存储系统轻松集成并有效存储事件数据，以避免使用大量存储设备及产生巨额成本，其创新的架构可以支持频繁地同时使用实时功能和历史功能。

　　事件暴增。当发生事件数据增长超出预期峰值限制时，分析人员能否确定这种事件量增长是否由主动攻击引起将至关重要。专为大数据安全构建的迈克菲SIEM不仅能够处理这些暴增情景，而且还能够将这些暴增情形纳入许可方案。相反，那些不了解这一问题的 SIEM 将会在超出每秒事件量 (EPS) 限制时丢弃事件或阻止分析人员访问控制台，在最关键的时刻禁止安全团队访问他们的主要态势感知工具。

　　大数据不仅对于机构是一项严峻挑战，对于安全团队同样提出了更高要求。过去，对于加强安全性的迫切需求一直驱使人们收集分析越来越多的事件和安全数据。随着安全数据量的不断上升，传统的SIEM产品更多的只是关注日志，对其进行收集和分析。对于今天的安全威胁环境来说，传统的SIEM功能显然是不够的。只有与大数据分析相结合，形成从数据收集分析到快速完成安全管理策略建议，这才是SIEM真正需要做的。