大數(shù)據(jù)正在面臨著信息安全問題。這種情況驅(qū)使安全經(jīng)理帶著批判的眼光看待現(xiàn)有的技術(shù)投資，特別是像安全信息管理系統(tǒng)（SIM）這樣的數(shù)據(jù)采集點，以便判斷它們是否能有助于實時安全分析事件數(shù)據(jù)。

企業(yè)需要盡可能實時知道在網(wǎng)絡(luò)中發(fā)生了什么事情。然而專家們一致認(rèn)為在當(dāng)前時刻實時分析不太可能，特別是對于SIM產(chǎn)品來說。對于“實時分析”真正意味著什么、SIM產(chǎn)品和其它分析技術(shù)能做什么、以及要實時觀察并對安全事件做出響應(yīng)需要的資源這些問題，安全團(tuán)隊?wèi)?yīng)該調(diào)整他們的期望值。

“這有些雄心勃勃，特別是對于SIM產(chǎn)品來說。因為事件必須恰好被記錄下來，發(fā)到SIM產(chǎn)品或者日志管理產(chǎn)品的歸并組件、然后通過規(guī)則引擎運行”，位于新罕布什爾州的Security Curve咨詢公司的創(chuàng)建人Diana Kelley談到。“所有這一切要花費時間，并且它不是實時的。你不是像IPS或是下一代防火墻那樣觀察在線流量。比起事件通過日志管理系統(tǒng)、解析數(shù)據(jù)、然后被發(fā)到運行關(guān)聯(lián)規(guī)則的SIM來說，那更加接近于實時”。

對于SIM產(chǎn)品來說可操作的信息一直是遙遠(yuǎn)美麗而又很難實現(xiàn)的美景，找到有價值的信息通常讓步于令人困擾的規(guī)則編寫和集成練習(xí)。SIM產(chǎn)品的規(guī)則編寫可能是艱辛的任務(wù)，因為像所有基于簽名技術(shù)的防御措施一樣、安全團(tuán)隊需要明白他們尋找什么以便建立正確的告警閾值。

“如果閾值設(shè)置太高的話，你無法足夠迅速地收到告警，”Kelley談到。“如果設(shè)置太低的話，SIM產(chǎn)品的告警數(shù)量會把你擊垮。弄清楚這些閾值設(shè)置為多少使得編寫規(guī)則是如此錯綜復(fù)雜。日志管理產(chǎn)品或是SIM產(chǎn)品用于取證分析可能更佳——這就像大海撈針。但如果你不知道從哪里開始，那就真成問題了。”

最終的結(jié)果經(jīng)常是人們對產(chǎn)品感到灰心，有時候公司以關(guān)閉產(chǎn)品的分析功能告終，只留下合規(guī)和報表工具。在某些情況下可能要花費六倍于購買的費用來安裝和維護(hù)。然而，最大化地發(fā)揮SIM產(chǎn)品可能不再是一件奢侈的事情了。不僅是規(guī)章制度要求日志分析和報表工具，而且以極具價值的政府、制造業(yè)和金融為目標(biāo)的針對性強(qiáng)、持續(xù)的攻擊可能為最大化SIM產(chǎn)品投資注入新的活力。

擴(kuò)展安全信息管理系統(tǒng)能力用于實時安全分析

Robert Capps是在線票券交易平臺Stub Hub公司的信任和安全高級經(jīng)理，他將公司的SIM產(chǎn)品與監(jiān)控詐騙偵測功能的技術(shù)相融合。該詐騙偵測技術(shù)來自于Silver Tail Systems公司，其對比正常的流量基線來尋找用戶與站點進(jìn)行交互時產(chǎn)生的異?，F(xiàn)象。他例舉了SIM產(chǎn)品和其它網(wǎng)絡(luò)安全設(shè)備無法找出攻擊者濫用Stub Hub公司提供的合法服務(wù)。例如入侵防御系統(tǒng)（IPS）只能看到合法的網(wǎng)絡(luò)流量，盡管SIM產(chǎn)品記錄了攻擊者為了詐騙創(chuàng)建的合法帳戶，并成功登錄。

Capps說他認(rèn)為除了沒有足夠的數(shù)據(jù)支持以外，IPS、SIM和其它分析工具無法有效地分析安全事件。通過采用實時分析的方法，他表示能夠辨識問題并且改進(jìn)公司的安全響應(yīng)而無需改變用戶體驗。

“如果有人試圖攻擊防火墻時IPS是不錯的，但它不擅長于辨識那些從正常流量混進(jìn)來的壞演員，特別是如果他們像每個人一樣使用Web應(yīng)用”，Capps談到。“我寧愿有一個工具能說，‘這個看起來很奇怪并且不符合我的業(yè)務(wù)流’。這才是我需要辨識零日攻擊的方向”。#p#

業(yè)界領(lǐng)先的SIM廠商如Arc Sight（HP）公司、Sensage和Q1Labs（IBM）公司正在討論擴(kuò)展他們產(chǎn)品在業(yè)務(wù)分析和數(shù)據(jù)中心方向的能力，以便提供大數(shù)據(jù)分析，特別是引入實時分析。安全分析師實質(zhì)上承擔(dān)著的大量數(shù)據(jù)不僅來自于網(wǎng)絡(luò)安全設(shè)備，還有操作系統(tǒng)、應(yīng)用、甚至是用戶行為。Sensage公司的總裁兼CEO Joe Gottlieb表示他們公司的工具已經(jīng)讓組織可以從特殊來源提取安全數(shù)據(jù)到數(shù)據(jù)中心，后者對這些數(shù)據(jù)流的子集進(jìn)行關(guān)聯(lián)規(guī)則運算。

“這些數(shù)據(jù)都是五分鐘以內(nèi)的”，Gottlieb說到。“實時性實際上是來源和新鮮數(shù)據(jù)的混合物?？偠灾@個行業(yè)需要控制對實時性的期望值。深度數(shù)據(jù)包檢測技術(shù)為預(yù)防措施技術(shù)設(shè)置了基調(diào)，并且人們期望從SIM產(chǎn)品具有同樣級別的情境意識，但事實上是不容易做到的。”

數(shù)據(jù)過載威脅到SIM產(chǎn)品的實時安全分析能力

明顯的是，隨著監(jiān)控和報告技術(shù)越來越靠近實時分析，以及涉及到更多的數(shù)據(jù)來源，查詢和處理事件以及維護(hù)閾值的復(fù)雜性也在不斷增長。“如果過于雄心勃勃，可能會回到原點。公司都想進(jìn)行實時分析，但是這需要平衡你的實際環(huán)境、以及對于你來說實時分析意味著什么，還有你想如何管理風(fēng)險”，HP Arc Sight公司的全球安全產(chǎn)品和解決方案市場總監(jiān)Michael Callahan表示。

Arc Sight公司也在通過提高其SIM產(chǎn)品的分析和關(guān)聯(lián)能力，朝著實時分析前進(jìn)。Callahan表示客戶們想要加強(qiáng)性能和擴(kuò)展性——即對更多來源數(shù)據(jù)的更快地分析和關(guān)聯(lián)能力，以及展現(xiàn)安全事件背景，和發(fā)生在IT中的事件的能力。

“下一步是擴(kuò)展它到整個組織中去，這可以讓你有機(jī)會看待組織整體風(fēng)險”，Callahan談到。專家們勸誡企業(yè)需要縮減實時分析的范圍，理解他們的環(huán)境，和攻擊對IT基礎(chǔ)設(shè)施中的各個組件來說意味著什么。

“每個安全團(tuán)隊都淹沒在數(shù)據(jù)中，另外一個與實時分析的問題是它數(shù)據(jù)以太多，以至于造成數(shù)據(jù)過載的情況”，Red Seal Networks公司的CEO Mike Lloyd說到。“企業(yè)已經(jīng)淹沒在太多的數(shù)據(jù)中，而部署產(chǎn)生更多數(shù)據(jù)的傳感器不是前進(jìn)的康莊大道。這使得人力投入隨著數(shù)據(jù)水漲船高，以至于我們能采取的行動是艱難的，并且會導(dǎo)致另外一個實時性問題”。

Red Seal公司的產(chǎn)品承諾通過映射安全產(chǎn)品間的交互，突出可能存在的脆弱的訪問點，持續(xù)地提供對IT基礎(chǔ)設(shè)施的可視性。Lloyd表示公司應(yīng)該避免以預(yù)防或是取證能力為代價，對任何安全領(lǐng)域的過度投入、例如分析技術(shù)。

“這是企業(yè)犯的一個巨大的錯誤”，Lloyd說。“你無法了解更高層次上的每一件事件”。Security Curve咨詢公司的Kelley表示SIM產(chǎn)品需要為他們遭受攻擊的客戶提供更佳的規(guī)則集和智能。“SIM在取證分析和將事件拼接在一起十分強(qiáng)大，”Kelley表示。“并且它擅長于以近乎實時的方式對簡單、不太復(fù)雜的問題發(fā)出告警。”