今年，大數(shù)據(jù)技術(shù)在全球企業(yè)中被大規(guī)模采用，但與此同時(shí)，大數(shù)據(jù)技術(shù)的應(yīng)用也給安全管理帶來(lái)新的挑戰(zhàn)，高達(dá)83%的企業(yè)遭受過(guò)高級(jí)持續(xù)威脅的攻擊。

面對(duì)大數(shù)據(jù)環(huán)境下企業(yè)面臨的安全問(wèn)題，如何在第一時(shí)間通過(guò)SIEM平臺(tái)幫助企業(yè)做出風(fēng)險(xiǎn)決策？傳統(tǒng)的安全信息與事件管理（SIEM）在大數(shù)據(jù)環(huán)境下有何不足？隨著大數(shù)據(jù)應(yīng)用的逐步深入，SIEM將發(fā)生新的變革，并迎來(lái)更多發(fā)展機(jī)遇。

大數(shù)據(jù)系統(tǒng)凸顯安全互聯(lián)價(jià)值

在今天這個(gè)大數(shù)據(jù)時(shí)代，安全架構(gòu)正變得更加復(fù)雜，由此增加了企業(yè)管理的復(fù)雜度。在這樣的架構(gòu)下，如果架構(gòu)之間互相割裂，我們便無(wú)法在每一個(gè)單獨(dú)的系統(tǒng)中獲取有價(jià)值的威脅信息，從而形成報(bào)警。攻擊者由此得以不斷嘗試安全漏洞，竊取需要的信息。反之，如果有安全互聯(lián)，那么，任何一個(gè)看似不起眼的安全事件都可以跟其他不相關(guān)的事件整合在一起，形成報(bào)警。這樣一來(lái)，攻擊者無(wú)法再輕易嘗試，因?yàn)樗拿恳淮螄L試都可能形成一個(gè)整體報(bào)警。

安全互聯(lián)平臺(tái)什么樣？邁克菲資深信息安全專(zhuān)家程智力表示，今天的IT環(huán)境下，企業(yè)需要對(duì)無(wú)邊界網(wǎng)絡(luò)進(jìn)行識(shí)別。安全互聯(lián)平臺(tái)，首先是需要可視，了解網(wǎng)絡(luò)里有什么，需要類(lèi)似于監(jiān)視器和攝像頭的系統(tǒng)；第二是做及時(shí)的響應(yīng)，面對(duì)問(wèn)題要實(shí)時(shí)有效的響應(yīng)；最后是持續(xù)的管理。在大數(shù)據(jù)的環(huán)境下做持續(xù)的安全管理和響應(yīng)，靠人工管理會(huì)是個(gè)沉重的負(fù)擔(dān)，不過(guò)如果基于技術(shù)手段和平臺(tái)來(lái)做則會(huì)輕松很多，而做到這一點(diǎn)最基礎(chǔ)的就是安全互聯(lián)。

在整個(gè)安全互聯(lián)平臺(tái)架構(gòu)中，實(shí)現(xiàn)可視性并實(shí)施預(yù)警是其中一個(gè)重要的基礎(chǔ)環(huán)節(jié)，安全信息與事件管理系統(tǒng)（SIEM）至關(guān)重要。傳統(tǒng)SIEM僅關(guān)注報(bào)告和合規(guī)，但在今天的威脅環(huán)境下，傳統(tǒng)的SIEM顯然力不從心。我們需要更全面地了解整個(gè)網(wǎng)絡(luò)的異常情況，在應(yīng)用層了解數(shù)據(jù)偷竊如何發(fā)生，并對(duì)協(xié)議層和文檔層進(jìn)行更多保護(hù)。在邁克菲亞太區(qū)副總裁兼首席技術(shù)官M(fèi)ichael Sentonas看來(lái)，將以上功能進(jìn)行整合，結(jié)合威脅信息數(shù)據(jù)庫(kù)，并對(duì)終端、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)中的安全數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，這將會(huì)成為未來(lái)SIEM產(chǎn)品和解決方案具有革命性的創(chuàng)新方向。

邁克菲下一代SIEM之道

4年前，邁克菲的產(chǎn)品已能實(shí)現(xiàn)100%的集成和整合，邁克菲由此正式提出安全互聯(lián)概念。邁克菲安全互聯(lián)的總目標(biāo)是將所有產(chǎn)品整合集成，實(shí)現(xiàn)在單一管理控制臺(tái)上對(duì)不同策略進(jìn)行管理。安全互聯(lián)平臺(tái)的推出則是其整個(gè)安全互聯(lián)戰(zhàn)略中具有革命性的一步，它可將不同技術(shù)做更好的整合，做實(shí)時(shí)智能威脅信息分析，并更好地針對(duì)這些攻擊進(jìn)行響應(yīng)。

邁克菲安全互聯(lián)平臺(tái)(SCP)包含硬件架構(gòu)層、數(shù)據(jù)/自動(dòng)化層、安全管理平臺(tái)、應(yīng)對(duì)措施層和數(shù)據(jù)分析層。其中，在硬件方面，邁克菲推出深度安全保護(hù)架構(gòu)——Deep SAFE架構(gòu)，結(jié)合母公司英特爾的主動(dòng)管理技術(shù)，能實(shí)現(xiàn)基于硬件級(jí)別操作系統(tǒng)之下的安全保護(hù)。在安全互聯(lián)平臺(tái)中，邁克菲下一代SIEM Nitro系統(tǒng)的作用舉足輕重，如果說(shuō)管理平臺(tái)是架構(gòu)、底盤(pán)，那么Nitro就是發(fā)動(dòng)機(jī)，是關(guān)聯(lián)所有部件最核心的部位。Nitro可把不同安全管理的系統(tǒng)、事件進(jìn)行有效的收集整理，并進(jìn)行標(biāo)準(zhǔn)化，再按照邁克菲安全專(zhuān)家所提出的關(guān)聯(lián)建議及企業(yè)自身安全風(fēng)險(xiǎn)情況，將其整合成比較容易理解的安全警報(bào)，即把安全威脅數(shù)據(jù)（機(jī)器語(yǔ)言）轉(zhuǎn)化成可以被理解的語(yǔ)言。

邁克菲安全互聯(lián)平臺(tái)(SCP)

與傳統(tǒng)SIEM相比，下一代SIEM究竟有何不同？程智力表示，邁克菲下一代SIEM的最大改變是性能。傳統(tǒng)SIEM并不是為大數(shù)據(jù)的安全時(shí)代所設(shè)計(jì)，其數(shù)據(jù)庫(kù)采用的有扁平的文件類(lèi)型的數(shù)據(jù)，也有關(guān)系類(lèi)型的數(shù)據(jù)。扁平的文件類(lèi)型的數(shù)據(jù)庫(kù)，可以很快寫(xiě)入，但索引能力很差，在做查詢或分析時(shí)，效率很低。關(guān)系型數(shù)據(jù)庫(kù)索引做得不錯(cuò)，但讀寫(xiě)速度慢。大數(shù)據(jù)時(shí)代，我們每秒鐘看到的事件是海量的，這是傳統(tǒng)的SIEM遠(yuǎn)遠(yuǎn)不能應(yīng)對(duì)的。下一代SIEM有非常好的專(zhuān)屬數(shù)據(jù)庫(kù)，既能夠很快的讀寫(xiě)數(shù)據(jù)，又能夠?qū)崿F(xiàn)快速查詢，由此能應(yīng)對(duì)大數(shù)據(jù)安全時(shí)代的特點(diǎn)；下一代SIEM與傳統(tǒng)SIEM的不同之處還在于，傳統(tǒng)SIEM更多是對(duì)事件進(jìn)行收集，并加以呈現(xiàn)，很少做數(shù)據(jù)深度挖掘和關(guān)聯(lián)，而下一代SIEM能識(shí)別更多上下文信息和數(shù)據(jù)背景，傳統(tǒng)SIEM看到的往往是時(shí)間、地點(diǎn)、目標(biāo)、IP地址，是枯燥的孤立的事件描述，卻沒(méi)有更多的反映出事件來(lái)自于什么用戶，沒(méi)有物理信息，也沒(méi)有描述這些事件跟互聯(lián)網(wǎng)上的安全事件的關(guān)聯(lián)，下一代的SIEM呈現(xiàn)的背景信息則包括：目標(biāo)主機(jī)的操作系統(tǒng)及風(fēng)險(xiǎn)情況、事件操作的用戶、該用戶在進(jìn)行該事件時(shí)的應(yīng)用程序是什么，物理位置是什么。目前，能看到的風(fēng)險(xiǎn)多是基于某一個(gè)應(yīng)用的，很少有單獨(dú)的基于操作系統(tǒng)的攻擊，只有識(shí)別應(yīng)用才能做到更深入的分析和安全呈現(xiàn)。