然而，這個(gè)實(shí)現(xiàn)過(guò)程將非常艱難，因?yàn)槌晒Φ拇髷?shù)據(jù)安全分析部署將要重繪IT部門(mén)的邏輯邊界，但現(xiàn)在很少有安全廠商提供支持這種過(guò)渡的產(chǎn)品。

在2012年Gartner安全和風(fēng)險(xiǎn)管理峰會(huì)上，Gartner公司副總裁Neil MacDonald談到了與大數(shù)據(jù)相關(guān)的一些重要信息，他指出，鑒于大數(shù)據(jù)的數(shù)量、速度、多樣性和復(fù)雜性，分析和處理大數(shù)據(jù)需要采用不同的方法，而現(xiàn)在有很少I(mǎi)T企業(yè)具有可擴(kuò)展性系統(tǒng)，能夠以合理的速度來(lái)分析幾TB的數(shù)據(jù)。

他又舉出了幾種很難相關(guān)聯(lián)、分析和用于業(yè)務(wù)和信息安全決策的大數(shù)據(jù)類型，包括網(wǎng)絡(luò)數(shù)據(jù)包捕捉、傳感器、各類交易數(shù)據(jù)、合規(guī)監(jiān)控和威脅情報(bào)。

“重點(diǎn)不是數(shù)據(jù)，而是你應(yīng)該如何處理這些數(shù)據(jù)：對(duì)這些數(shù)據(jù)進(jìn)行分析獲取的你需要的情報(bào)信息，”MacDonald表示，“我認(rèn)為大數(shù)據(jù)分析是真實(shí)的，而不只是炒作，這也是我們將要處理和分析的信息安全數(shù)據(jù)類型。”

由于高級(jí)持續(xù)性攻擊(通常簡(jiǎn)稱為APT)的迅速崛起，大數(shù)據(jù)分析成為很多企業(yè)信息安全部門(mén)迫切需要解決的問(wèn)題。傳統(tǒng)安全防御措施很難檢測(cè)高級(jí)持續(xù)性攻擊，因?yàn)檫@種攻擊與之前的惡意軟件模式完全不同。

“你怎么知道出現(xiàn)問(wèn)題了?以前你訂閱了供應(yīng)商的服務(wù)，他們會(huì)告訴你問(wèn)題是什么樣子，然后你可以去尋找問(wèn)題，”MacDonald表示，“但現(xiàn)在，在一個(gè)沒(méi)人它什么樣子，你怎么找出問(wèn)題?”

企業(yè)必須先確定正常、非非惡意活動(dòng)是什么樣子，然后查找與之不同的活動(dòng)，從而發(fā)現(xiàn)惡意活動(dòng)。但Macdonald表示，要成功做到這一點(diǎn)，企業(yè)需要更多的數(shù)據(jù)來(lái)建立一個(gè)基線標(biāo)準(zhǔn)，這也就是大數(shù)據(jù)的用武之地。

MacDonald預(yù)測(cè)，到2016年，40%的企業(yè)(銀行、保險(xiǎn)、醫(yī)藥和國(guó)防行業(yè)為主)將積極地對(duì)至少10TB數(shù)據(jù)進(jìn)行分析，以找出潛在危險(xiǎn)的活動(dòng)。然而，供應(yīng)商的產(chǎn)品格局無(wú)法在短期內(nèi)進(jìn)行轉(zhuǎn)變?，F(xiàn)在，企業(yè)通常依賴于SIEM系統(tǒng)來(lái)關(guān)聯(lián)和分析安全相關(guān)的數(shù)據(jù)，MacDonald表示目前的SIEM產(chǎn)品無(wú)法處理這么大的工作量，大多數(shù)SIEM產(chǎn)品提供接近實(shí)時(shí)數(shù)據(jù)，但只能處理規(guī)范化數(shù)據(jù)，還有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù)，但無(wú)法提供實(shí)時(shí)情報(bào)信息。

MacDonald表示，這意味著一些企業(yè)將不得不自己來(lái)建立有效的大數(shù)據(jù)分析系統(tǒng)，他預(yù)測(cè)將會(huì)有越來(lái)越多的企業(yè)開(kāi)始建立大數(shù)據(jù)項(xiàng)目，例如像Zions Bancorporation大數(shù)據(jù)部署項(xiàng)目，該公司使用來(lái)自初創(chuàng)公司Zettaset公司的技術(shù)建立了一個(gè)基于Hadoop安全大數(shù)據(jù)倉(cāng)庫(kù)。

MacDonald建議，在進(jìn)行自定義部署之前，企業(yè)應(yīng)該向SIEM供應(yīng)商尋求幫助，跟蹤市場(chǎng)發(fā)展趨勢(shì)。一些較大供應(yīng)商(例如IBM、惠普和EMC及其RSA和VMware子公司)正在基于其SIEM產(chǎn)品建立和整合類似技術(shù)。

McDonald表示，最終，安全大數(shù)據(jù)將演化為IT商業(yè)智能發(fā)展趨勢(shì)的一部分，即結(jié)合信息安全情報(bào)和IT業(yè)務(wù)數(shù)據(jù)，以提供更高水平的業(yè)務(wù)情報(bào)。安全和業(yè)務(wù)數(shù)據(jù)相結(jié)合能夠帶來(lái)巨大的價(jià)值，因?yàn)殡S著IT系統(tǒng)逐漸虛擬化，在安全和業(yè)務(wù)部門(mén)使用標(biāo)準(zhǔn)行為基線來(lái)發(fā)現(xiàn)異常行為將越來(lái)越普遍。此外，運(yùn)營(yíng)團(tuán)隊(duì)將知曉對(duì)安全至關(guān)重要的數(shù)據(jù)，例如哪些系統(tǒng)承載企業(yè)最寶貴的數(shù)據(jù)。

“你可以想想這幅畫(huà)面，其中包含海量數(shù)據(jù)，”MacDonald表示：“要到達(dá)金字塔的頂端，你必須使用有意義的模式和可見(jiàn)度來(lái)提取大量數(shù)據(jù)，讓數(shù)據(jù)具有可操作性，知道應(yīng)該對(duì)這些數(shù)據(jù)做什么以及哪些數(shù)據(jù)應(yīng)該優(yōu)先處理。這聽(tīng)起來(lái)很困難，但這正是關(guān)鍵所在，也就是Gartner公司所謂的安全情報(bào)：我需要知道將重點(diǎn)放在哪里——通過(guò)IT風(fēng)險(xiǎn)‘熱圖’來(lái)顯示工作重點(diǎn)。”

關(guān)于這種演變是否將發(fā)生在未來(lái)幾年內(nèi)，與會(huì)者有不同的意見(jiàn)。Open Field Capital公司研究分析師Luis Scull表示，他不認(rèn)為大數(shù)據(jù)在未來(lái)幾年內(nèi)將掌控大局，因?yàn)榇蠖鄶?shù)企業(yè)不具備相關(guān)資源或政策資本。

然而，新澤西州某公司的技術(shù)協(xié)助和事件響應(yīng)高級(jí)主管Robert House表示，在他們企業(yè)，大家已經(jīng)開(kāi)始談?wù)摯髷?shù)據(jù)安全分析系統(tǒng)的話題，因?yàn)樗麄兤惹械匦枰业絼?chuàng)新的方法來(lái)檢測(cè)威脅。但SIEM供應(yīng)商還沒(méi)有加快步伐來(lái)幫助客戶采取下一步行動(dòng)。

House表示：“我的經(jīng)驗(yàn)是大部分供應(yīng)商解決方案不會(huì)對(duì)他們提供給你的數(shù)據(jù)進(jìn)行補(bǔ)充，你需要在企業(yè)內(nèi)部來(lái)完成。”合規(guī)也推動(dòng)著大數(shù)據(jù)的演化，隨著 PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))和SOX(薩班斯-奧克斯利法案)有更先進(jìn)的防御方法，在未來(lái)幾年內(nèi)，我們會(huì)對(duì)安全大數(shù)據(jù)系統(tǒng)的需求更迫切。

“由于Stuxnet和Flame等攻擊變得越來(lái)越智能，你將需要加強(qiáng)安全控制，不斷改善你的安全方法。”