京公网安备 11010802034615号
经营许可证编号:京B2-20210330
SIEM需要具备四种大数据分析能力
现在,每一秒都有一个恶意软件新样本产生,高达83%的企业遭受过高级持续威胁的攻击…大数据不仅仅是客户所面临的挑战,对安全产品供应商也同样。如果说,风险等于威胁乘以资产再乘以漏洞,那么大数据时代,风险正变得更加讳深莫测。
2013年是企业大规模采用大数据技术的一年,Gartner发布的相关报告显示,42%的IT主管表示其所在的企业已经投资大数据技术或者将在一年内进行相关投资。从海量的低价值密度的结构化和非结构化数据中获取有价值的信息,显然已经成为企业IT收益的重要组成部分。与此同时,还没结束的2013年已经被人们扣上了“网络安全漏洞之年”的帽子。迈克菲全球消费市场副总裁Gary Davis在一篇博客文章中写道,截至到今年8月份,大量的网络攻击事件让众多企业,特别是金融机构损失高达数百万美元。从以报复为目的的“黑客行为”到非法信用卡诈骗,网络诈骗可谓无所不用其极。
对于大数据来讲,重点不是数据,而是应该如何处理这些数据——对这些数据进行分析获取所需要的情报信息,Gartner发布的这一言论同样被广泛认同。事实上,SIEM (安全信息和事件管理)本身就是为了应对数据处理能力不足这一根本问题。迈克菲副总裁兼亚太区首席技术官Michael Sentonas曾表示:“SIEM是智能安全系统中非常重要的领域。迈克菲的SIEM产品可将其全球威胁智能感知系统与应用、终端、网络、数据库等其他渠道信息进行整合,对安全数据进行实时分析。此外,IPS、防火墙等技术也被融入SIEM解决方案中。”以SIEM为平台的整合解决方案对不同攻击具有更高的可视度,让安全防护更加主动。
实时分析的强大性渗透整个网络
一些具有安全意识的行业,例如大型金融服务机构和政府机构早在初期已经采用 SIEM,但直到 2005 年左右,萨班斯-奥克斯利法案 (Sarbanes Oxley) 审计通过之后才得到广泛应用并建立有效市场。合规审计不仅扩大了 SIEM 的应用规模,还衍生了大量其他安全设备并提升了日志记录水平。迈克菲亚太区SIEM解决方案实践经理 Mason Hooper表示,对于今天的安全威胁环境来说,传统的SIEM产品更多的只是关注日志并对其进行收集和分析,这显然是不够的。而是要实时掌控整个网络的异常情况,还需要关注应用层的安全。
从众多的报道中,我们能够看到一些机构组织在已经通过了据称基于严格合规标准的安全审计以后,仍然发生了灾难性的数据泄露, IT 安全防护亟需从按章照抄式的合规发展为覆盖外围、内部、数据和系统安全防护的全方位安全计划。为应对这些不断增加的安全控制手段,可谓是极富创新性和韧性的攻击者们同样提高了攻击方法的复杂度,因此,迈克菲认为SIEM 需要检测缓慢攻击,快速检测事件流异常,并获取相关的数据、应用程序和数据库上下文信息。而大数据包含的数据集规模过于庞大,拥有强大的数据分析能力的SIEM解决方案才得以胜任。
关系数据可扩展性。由于事件数据量持续成倍增加,攻击复杂度也越来越高,通过有关来源、资产、用户和数据智能态势感知的关系数据丰富事件数据将变得十分关键。另外,还需要在数据库架构中提供这类信息与事件流之间的实时关联。虽然许多 SIEM 都具有这些功能,但由于数据库端的表限制,极少有 SIEM 能够支持多个宽泛列表。同时,为避免分析性能下降,当用户请求获取信息时,许多 SIEM只是简单查找此信息,而不会进行实时关联和呈现。
动态分析。大数据环境下,仅仅是简单的事件流分析(只显示连接频率以及是否发生变化)已经不足以获得对真实态势的感知。当今的 SIEM 需要动态情景,从而根据来源信誉、资产风险以及与之相关的数据、应用程序和数据库活动,识别用户行为变化并动态调节风险。动态分析是缓慢攻击检测的重要组成部分,大数据安全SIEM架构需要适应这种情况。
历史数据分析。攻击检测和有效事件响应的另一个重要方面是能够分析历史事件数据。鉴于当今的攻击方法,迈克菲SIEM 解决方案能够访问数年的数据,从而快速定位模式和异常,同时在不影响性能的前提下开展实时分析。同时还能够与存储系统轻松集成并有效存储事件数据,以避免使用大量存储设备及产生巨额成本,其创新的架构可以支持频繁地同时使用实时功能和历史功能。
事件暴增。当发生事件数据增长超出预期峰值限制时,分析人员能否确定这种事件量增长是否由主动攻击引起将至关重要。专为大数据安全构建的迈克菲SIEM不仅能够处理这些暴增情景,而且还能够将这些暴增情形纳入许可方案。相反,那些不了解这一问题的 SIEM 将会在超出每秒事件量 (EPS) 限制时丢弃事件或阻止分析人员访问控制台,在最关键的时刻禁止安全团队访问他们的主要态势感知工具。
大数据不仅对于机构是一项严峻挑战,对于安全团队同样提出了更高要求。过去,对于加强安全性的迫切需求一直驱使人们收集分析越来越多的事件和安全数据。随着安全数据量的不断上升,传统的SIEM产品更多的只是关注日志,对其进行收集和分析。对于今天的安全威胁环境来说,传统的SIEM功能显然是不够的。只有与大数据分析相结合,形成从数据收集分析到快速完成安全管理策略建议,这才是SIEM真正需要做的。
数据分析咨询请扫描二维码
若不方便扫码,搜微信号:CDAshujufenxi
金融行业的运营风险贯穿业务全流程,涵盖交易欺诈、操作违规、流程漏洞、合规偏差、客户信用异常等多元场景,是银行、保险、证券 ...
2026-07-17财产保险作为金融行业的核心板块,涵盖车险、家财险、责任险、企财险等多元品类,是个人与企业抵御财产风险、经营风险的重要保障 ...
2026-07-17 很多数据分析师能熟练写SQL、做透视表,但当被问到“数据是从哪里来的?经过哪些加工才进入数据仓库?ETL具体做了什么?”时 ...
2026-07-17【核心关键词】模块、餐饮、客户、门店、企业、订单、供应链、多样化、产品、生产计划、数据分析、生产管理、物料管理、业务分 ...
2026-07-16在数字化分析时代,原始数据本身不具备业务价值,只有通过科学的统计学方法加工、拆解、验证与解读,才能挖掘数据背后的规律、差 ...
2026-07-16 很多数据分析师能熟练地写SQL、做透视表、算描述性统计,但当被问到“如何预测用户流失概率”“如何归因销量下滑的关键因素 ...
2026-07-16在描述性统计分析、数据预处理、异常值排查与多组数据分布对比工作中,箱线图(Box Plot)是应用最广泛的可视化与统计工具之一。 ...
2026-07-15在企业数据存储、业务统计与数据分析工作中,绝大多数业务数据都带有时间维度属性,例如订单创建时间、用户注册时间、支付完成时 ...
2026-07-15 很多数据分析师拿到数据就开始清洗、建模,但当被问到“这批数据属于什么类型——结构化还是非结构化?分类变量还是数值变量 ...
2026-07-15【核心关键词】产品、经营、客户、调研、销售额、宏观、会计行业、客户满意度、发展趋势、经营状况、数据分析、竞争对手、数据 ...
2026-07-14问卷调查是市场调研、用户研究、社会调研与产品分析的核心数据采集方式。问卷数据大多以分类数据为主,例如用户性别、年龄分层、 ...
2026-07-14 很多数据分析师画过趋势图、做过业绩预测,但当被问到“这个月销售额增长20%,到底是长期趋势自然增长,还是促销活动的短期 ...
2026-07-14在数据分析、业务效果验证、AB实验扩展、行业对比等场景中,我们经常需要对比三组及以上样本的均值差异,例如不同区域的客单价对 ...
2026-07-13在互联网产品运营、用户生命周期管理与商业化数据分析中,留存指标是判断产品价值、用户满意度与商业模式健康度的核心基准。常规 ...
2026-07-13 很多数据分析师做过按月份的销售额趋势图,画过按天的流量折线图,但当被问到“时间序列和普通数据有什么本质区别”“季节性 ...
2026-07-13【核心关键词】统计学、互联网、知识、课程、学生、数学、软件、招聘、数据分析、实习经历、机器学习、理论基础、业务思维、统 ...
2026-07-10在互联网运营、产品设计、市场营销与商业数据分析领域,所有转化、成交、复购行为的底层逻辑,都依托于用户决策流程。用户从产生 ...
2026-07-10 很多数据分析师能熟练地计算指标、搭建标签体系,但当被问到“画像到底在解决什么问题”“画像和标签是什么关系”“画像如何 ...
2026-07-10数据透视表是数据分析中最常用、最高效的汇总分析工具,具备快速分组、聚合计算、维度拆解、数据可视化等优势,能够轻松完成求和 ...
2026-07-09在统计学、CDA数据分析、机器学习与商业数据研究中,正态分布是最基础、最重要的数据分布形态。绝大多数参数检验、数据建模、指 ...
2026-07-09