當(dāng)企業(yè)邁進(jìn)大數(shù)據(jù)時(shí)代，信息安全面臨多重挑戰(zhàn)。數(shù)據(jù)大集中的安全隱患重重，而大數(shù)據(jù)不僅被用來找出潛在威脅，也被黑客用來實(shí)現(xiàn)更精準(zhǔn)的打擊。大數(shù)據(jù)來襲，企業(yè)不僅要學(xué)習(xí)如何挖掘數(shù)據(jù)價(jià)值，使其價(jià)值最大化，還要統(tǒng)籌安全部署，以免遭到更強(qiáng)有力的攻擊，降低企業(yè)風(fēng)險(xiǎn)。 大數(shù)據(jù)會(huì)捅大婁子？ 毫無疑問，企業(yè)正在擁抱大數(shù)據(jù)，并且將大數(shù)據(jù)挖掘和分析能力作為企業(yè)核心競爭力的關(guān)鍵。Gartner一個(gè)悲觀的預(yù)測(cè)認(rèn)為：到2015年，超過85%的財(cái)富500強(qiáng)企業(yè)將無法有效利用大數(shù)據(jù)帶來的競爭優(yōu)勢(shì)。Garnter認(rèn)為，大數(shù)據(jù)不僅是量多，還包括復(fù)雜性、多樣性和數(shù)據(jù)傳輸速度等問題，“單單收集和分析數(shù)據(jù)是不夠的，企業(yè)還必須具備實(shí)時(shí)提供數(shù)據(jù)的能力，以對(duì)企業(yè)的生產(chǎn)力、盈利能力或效率帶來實(shí)質(zhì)的影響，并制定出相應(yīng)對(duì)策”。

對(duì)于大數(shù)據(jù)，企業(yè)還需要考慮如何應(yīng)對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)，并且建立相關(guān)預(yù)案，因?yàn)榇髷?shù)據(jù)對(duì)分析和計(jì)算性能要求提高的同時(shí)，還帶來了更多安全風(fēng)險(xiǎn)。正如Gartner論斷的那樣：“大數(shù)據(jù)安全是一場必要的斗爭。”

大數(shù)據(jù)來襲，你準(zhǔn)備好了嗎？

數(shù)據(jù)分析和業(yè)務(wù)緊密相關(guān)

Gartner的數(shù)據(jù)顯示，近兩年產(chǎn)生的數(shù)據(jù)量是過去互聯(lián)網(wǎng)出現(xiàn)以來所有數(shù)據(jù)量的總和。而隨著社交網(wǎng)絡(luò)和移動(dòng)設(shè)備的普及，企業(yè)80%的數(shù)據(jù)是非結(jié)構(gòu)化或半結(jié)構(gòu)化的，結(jié)構(gòu)化數(shù)據(jù)僅有20%。同時(shí)，全球結(jié)構(gòu)化數(shù)據(jù)增長速度約為32%，而非結(jié)構(gòu)化數(shù)據(jù)的增速則高達(dá)63%。

大數(shù)據(jù)為傳統(tǒng)安全防護(hù)帶來不小的安全挑戰(zhàn)。中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所分析師王闖表示，大數(shù)據(jù)時(shí)代的安全與傳統(tǒng)安全相比，變得更加復(fù)雜。“這體現(xiàn)在兩方面：一方面，大量的數(shù)據(jù)匯集，包括大量的企業(yè)運(yùn)營數(shù)據(jù)、客戶信息、個(gè)人的隱私和各種行為的細(xì)節(jié)記錄。這些數(shù)據(jù)的集中存儲(chǔ)增加了數(shù)據(jù)泄露風(fēng)險(xiǎn)，而這些數(shù)據(jù)不被濫用，也成為人身安全的一部分。另一方面，大數(shù)據(jù)對(duì)數(shù)據(jù)完整性、可用性和秘密性帶來挑戰(zhàn)，在防止數(shù)據(jù)丟失、被盜取和被破壞上存在一定的技術(shù)難度，傳統(tǒng)的安全工具不再像以前那么有用。”

“由于這些數(shù)據(jù)已經(jīng)成為企業(yè)生存的根本，信息安全防護(hù)體系的建設(shè)越發(fā)重要了。但是面對(duì)海量的數(shù)據(jù)收集、存儲(chǔ)、管理、分析和共享，傳統(tǒng)意義上的網(wǎng)絡(luò)與信息安全面臨新的問題。”王闖認(rèn)為，“企業(yè)要從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、災(zāi)難備份和安全管理等各個(gè)角度考慮，部署整體的安全解決方案，來保障企業(yè)數(shù)據(jù)安全。”

知易行難。當(dāng)企業(yè)用數(shù)據(jù)挖掘和數(shù)據(jù)分析獲取商業(yè)價(jià)值的時(shí)候，黑客也可以利用大數(shù)據(jù)分析向企業(yè)發(fā)起攻擊。“黑客最大限度地收集更多有用信息，比如社交網(wǎng)絡(luò)、郵件、微博、電子商務(wù)、電話和家庭住址……為發(fā)起攻擊做準(zhǔn)備。尤其當(dāng)你的VPN賬號(hào)被黑客獲取時(shí)，黑客就可以獲取你在單位的工作信息，進(jìn)而入侵企業(yè)網(wǎng)絡(luò)。”綠盟科技首席戰(zhàn)略官趙糧表示，大數(shù)據(jù)分析讓黑客的攻擊更精準(zhǔn)。

通常，那些對(duì)大數(shù)據(jù)分析有較高要求的企業(yè)，會(huì)面臨更多的挑戰(zhàn)，例如電子商務(wù)、金融、天氣預(yù)報(bào)的分析預(yù)測(cè)、復(fù)雜網(wǎng)絡(luò)計(jì)算和廣域網(wǎng)感知等。啟明星辰核心研究院資深研究員周濤告訴記者，任何一個(gè)會(huì)誤導(dǎo)目標(biāo)信息的提取和檢索的攻擊都是有效攻擊，因?yàn)檫@些攻擊對(duì)安全廠商的大數(shù)據(jù)安全分析產(chǎn)生誤導(dǎo)，導(dǎo)致其分析偏離正確的檢測(cè)方向。“這些攻擊需要我們集合大量數(shù)據(jù)，進(jìn)行關(guān)聯(lián)分析才能夠知道其攻擊意圖。大數(shù)據(jù)安全是跟大數(shù)據(jù)業(yè)務(wù)相對(duì)應(yīng)的，傳統(tǒng)時(shí)代的安全防護(hù)思路此時(shí)難以起效，并且成本過高。”在周濤的眼里，與傳統(tǒng)安全相比，大數(shù)據(jù)安全的最大區(qū)別是，“安全廠商在思考安全問題的時(shí)候首先要進(jìn)行業(yè)務(wù)分析，并且找出針對(duì)大數(shù)據(jù)的業(yè)務(wù)的威脅 ，然后提出有針對(duì)性的解決方案。”#p#

NoSQL并非萬無一失

Hadoop作為一個(gè)分布式系統(tǒng)架構(gòu)，可以用來應(yīng)對(duì)海量數(shù)據(jù)的存儲(chǔ)，而這樣的數(shù)據(jù)量往往是以PB甚至ZB來計(jì)算。作為一個(gè)云化的平臺(tái)，Hadoop自身也存在著云計(jì)算面臨的安全風(fēng)險(xiǎn)。正如王闖所言，企業(yè)需要實(shí)施基于身份驗(yàn)證的安全訪問機(jī)制。此外，由Hadoop派生的新數(shù)據(jù)集也同樣面臨著數(shù)據(jù)加密的問題，Hadoop對(duì)數(shù)據(jù)的聚合增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

談到大數(shù)據(jù)的存儲(chǔ)，就不能不談NoSQL。它迎合了大數(shù)據(jù)的時(shí)代，更適合非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)和分析，有靈活、可擴(kuò)展性強(qiáng)、降低復(fù)雜性等特點(diǎn)，因此被IT企業(yè)看好。但NoSQL并不像它看上去的那么美，其安全性一直在業(yè)界存有爭議。而這也可能會(huì)成為NoSQL發(fā)展最大的桎梏。

NoSQL的出現(xiàn)主要是用來處理海量數(shù)據(jù)，所以它在設(shè)計(jì)時(shí)犧牲了一些SQL數(shù)據(jù)庫的特性，例如數(shù)據(jù)庫事務(wù)的一致性需求、數(shù)據(jù)庫的寫實(shí)時(shí)性和讀實(shí)時(shí)性需求、多表關(guān)聯(lián)查詢的需求等。這些簡化設(shè)計(jì)大大提高了NoSQL處理海量數(shù)據(jù)時(shí)的速度，也提高了可擴(kuò)展性，但同時(shí)也帶來了一些安全風(fēng)險(xiǎn)。 一方面，NoSQL內(nèi)在安全機(jī)制不完善，導(dǎo)致安全風(fēng)險(xiǎn)。“例如NoSQL的代碼沒有在每個(gè)事務(wù)修改后要求一致性，用戶可能無法看到最新的數(shù)據(jù)，因?yàn)槭聞?wù)沒有立刻寫入數(shù)據(jù)庫，有可能同步發(fā)生的事務(wù)受到其他事務(wù)干擾。不是所有的用戶一定會(huì)在同一時(shí)間查看同一個(gè)數(shù)據(jù)。”王闖表示，

“NoSQL數(shù)據(jù)庫缺乏保密性和完整性的特質(zhì)。例如NoSQL數(shù)據(jù)庫缺少圖式（schema），你不能在表、行或列上分隔權(quán)限并保持對(duì)數(shù)據(jù)的快速訪問，它們很少有內(nèi)建的安全機(jī)制。”

另一方面，NoSQL對(duì)來自不同系統(tǒng)、不同應(yīng)用程序及不同活動(dòng)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)，人們擔(dān)心隱私遭到侵犯。今年3月，谷歌修改其隱私保護(hù)政策，允許谷歌融合來自所有服務(wù)中的信息。對(duì)此王闖表示：“將不同應(yīng)用的信息加以整合可能為企業(yè)帶來更多價(jià)值，但是對(duì)員工而言，則可能會(huì)導(dǎo)致更多隱私被挖掘出來。”

“由于大家都剛剛接觸NoSQL，因此他們所首先要解決的問題是使其正常運(yùn)轉(zhuǎn)，也就是說大家往往會(huì)滿足于正常運(yùn)轉(zhuǎn)這一狀態(tài)，至于安全性估計(jì)要到一段時(shí)間后才會(huì)被重視起來。”Imperva公司創(chuàng)始人兼CTO Amichai Shulman預(yù)計(jì)，由于大多數(shù)人對(duì)NoSQL缺乏足夠的了解，用戶在部署時(shí)很可能“捅出大婁子”。

“大數(shù)據(jù)的體現(xiàn)形式歸根結(jié)底還是靜態(tài)存儲(chǔ)狀態(tài)。靜態(tài)存儲(chǔ)的數(shù)據(jù)是大數(shù)據(jù)非常明顯的一個(gè)挑戰(zhàn)。”Websense中國區(qū)技術(shù)總監(jiān)陳綱認(rèn)為，數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲(chǔ)在一起，例如開發(fā)數(shù)據(jù)、客戶資料和經(jīng)營數(shù)據(jù)存儲(chǔ)在一起，可能會(huì)出現(xiàn)違規(guī)地將某些生產(chǎn)數(shù)據(jù)放在經(jīng)營數(shù)據(jù)存儲(chǔ)位置的情況，造成企業(yè)安全管理不合規(guī)。此時(shí)，企業(yè)的安全措施需要從企業(yè)內(nèi)部拓展到數(shù)據(jù)中心或者運(yùn)營商。 　　2012年RSA大會(huì)上，RSA總裁Tom Heiser表示，RSA和EMC在身份認(rèn)證和大數(shù)據(jù)上的優(yōu)勢(shì)會(huì)在未來凸顯，“企業(yè)面對(duì)高持續(xù)性安全威脅的情況下，安全投入會(huì)持續(xù)增加。同時(shí)安全技術(shù)市場也將發(fā)生變化，基于傳統(tǒng)安全的防病毒、防火墻和IPS的技術(shù)和解決方案會(huì)向以身份認(rèn)證和大數(shù)據(jù)分析監(jiān)控的技術(shù)方向轉(zhuǎn)化。”#p#

APT攻擊更囂張

火焰病毒爆發(fā)備受關(guān)注。由于隱蔽性強(qiáng)，火焰病毒在潛藏了將近兩年之后才被人們發(fā)現(xiàn)，高級(jí)持續(xù)性攻擊（APT攻擊）的厲害性也再次被人們所認(rèn)識(shí)。

大數(shù)據(jù)為黑客發(fā)起攻擊提供了更多機(jī)會(huì)。利用大數(shù)據(jù)，黑客可以擴(kuò)大攻擊的效果。這主要體現(xiàn)在三個(gè)方面：首先，黑客利用大數(shù)據(jù)發(fā)起僵尸網(wǎng)絡(luò)攻擊，可能會(huì)同時(shí)控制上百萬臺(tái)傀儡機(jī)并發(fā)起攻擊，這個(gè)數(shù)量級(jí)是傳統(tǒng)單點(diǎn)攻擊不具備的。其次，黑客可以通過控制關(guān)鍵節(jié)點(diǎn)放大攻擊效果。再次，大數(shù)據(jù)的價(jià)值低密度性，讓安全分析工具很難聚焦在價(jià)值點(diǎn)上，黑客可以將攻擊隱藏在大數(shù)據(jù)中，給安全廠商的分析制造一些困難。正如啟明星辰周濤所言，黑客設(shè)置的任何一個(gè)會(huì)誤導(dǎo)安全廠商目標(biāo)信息提取和檢索的攻擊，都會(huì)導(dǎo)致安全監(jiān)測(cè)偏離應(yīng)有的方向。

黑客利用大數(shù)據(jù)將攻擊很好地隱藏起來，使傳統(tǒng)的防護(hù)策略難以檢測(cè)出來。傳統(tǒng)的檢測(cè)是基于單個(gè)時(shí)間點(diǎn)進(jìn)行的基于威脅特征的實(shí)時(shí)匹配檢測(cè)，而APT攻擊是一個(gè)實(shí)施過程，并不具有能夠被實(shí)時(shí)檢測(cè)出來的明顯特征，無法被實(shí)時(shí)檢測(cè)。同時(shí)，APT攻擊代碼隱藏在大量數(shù)據(jù)中，讓其很難被發(fā)現(xiàn)。此外，攻擊者還可以利用社交網(wǎng)絡(luò)和零日漏洞進(jìn)行攻擊，抓住威脅特征庫無法檢測(cè)出來的時(shí)間段，發(fā)起攻擊。

盡管大數(shù)據(jù)似乎讓黑客的攻擊更加得心應(yīng)手，能夠取得更大的收益，不過，事情總有兩面性，智能分享平臺(tái)和大數(shù)據(jù)分析應(yīng)對(duì)APT攻擊的方式，在安全廠商中的聲音越來越多。在2012年Gartner安全和風(fēng)險(xiǎn)管理峰會(huì)上，Gartner公司副總裁Neil MacDonald預(yù)測(cè)，到2016年，40%的企業(yè)（以銀行、保險(xiǎn)、醫(yī)藥和國防行業(yè)為主）將積極地對(duì)至少10TB數(shù)據(jù)進(jìn)行分析，以找出潛在危險(xiǎn)的活動(dòng)。Gartner還認(rèn)為，由于APT攻擊崛起，大數(shù)據(jù)分析成為很多企業(yè)信息安全部門迫切需要解決的問題。傳統(tǒng)安全防御措施很難檢測(cè)高級(jí)持續(xù)性攻擊，因?yàn)檫@種攻擊與之前的惡意軟件模式完全不同。

既然APT攻擊很難被檢測(cè)到，企業(yè)必須先確定正常、非惡意活動(dòng)是什么樣子，才能盡早確定企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)是否受到了攻擊。Macdonald表示：“要成功做到這一點(diǎn)，企業(yè)需要更多的數(shù)據(jù)來建立一個(gè)基線標(biāo)準(zhǔn)，這也就是大數(shù)據(jù)的用武之地。”的確，大數(shù)據(jù)讓檢測(cè)過程變得自動(dòng)化，效率更高。

“大數(shù)據(jù)對(duì)安全廠商而言，最重要的是你如何將事件的模式、攻擊的模式、時(shí)間和空間上的特征，總結(jié)抽象出來一些模型，變成大數(shù)據(jù)工具可以幫你發(fā)現(xiàn)的一些模式。”趙糧認(rèn)為，首先要搞清楚攻擊是如何發(fā)起，會(huì)造成什么影響，然后根據(jù)分析結(jié)果建立安全模型。但他說這并不容易，“即使用自然語言講起來都會(huì)存在很大不確定性，而要把它變成機(jī)器語言，安全廠商面臨非常大的挑戰(zhàn)”。趙糧表示，要建立合理的模型，安全廠商需要對(duì)非常多的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，例如APT攻擊建模不只是針對(duì)一個(gè)攻擊包或者某一個(gè)威脅架構(gòu)，而是需要針對(duì)大范圍的數(shù)據(jù)，“包括一個(gè)區(qū)域或者一個(gè)行業(yè)的數(shù)據(jù)”。 不僅如此，為了精準(zhǔn)地描述威脅特征

，建模的過程可能耗費(fèi)幾個(gè)月甚至幾年時(shí)間，企業(yè)需要耗費(fèi)大量人力、物力、財(cái)力成本，才能達(dá)到目的。

“在這種情況下，傳統(tǒng)的邊界防護(hù)失效，安全廠商需要建立相應(yīng)的大數(shù)據(jù)分析機(jī)制。”周濤認(rèn)為，大數(shù)據(jù)分析是解決各種高端攻擊的有效方法。其中一個(gè)典型的應(yīng)用場景是，針對(duì)大數(shù)據(jù)潛伏時(shí)間長、難以被檢測(cè)的問題，安全廠商不能只進(jìn)行單點(diǎn)檢測(cè)，而是針對(duì)一段時(shí)間內(nèi)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)檢測(cè)。針對(duì)零日漏洞的攻擊可能在當(dāng)時(shí)無法發(fā)現(xiàn)，但是通過IPS的不斷升級(jí)，檢測(cè)能力不斷提升，進(jìn)行二次檢測(cè)的時(shí)候能夠檢測(cè)出來。#p#

大數(shù)據(jù)分析帶來安全機(jī)遇

大數(shù)據(jù)技術(shù)是把雙刃劍，結(jié)果取決于技術(shù)的使用者及其目的。

“大數(shù)據(jù)分析是一個(gè)工具，不僅可以提升企業(yè)正在做的東西，同時(shí)也可以做以前無法做的東西，比如大型企業(yè)的取證問題。”趙糧表示，“取證過程需要抓取所有的數(shù)據(jù)包和模式。在大數(shù)據(jù)之前，通過手工的方式需要耗費(fèi)很長時(shí)間，因此企業(yè)很難做到。甚至一年前的數(shù)據(jù)很少有人能夠找到。

但是在大數(shù)據(jù)時(shí)代，你每發(fā)現(xiàn)一個(gè)問題時(shí)候都可以向前回溯兩三年甚至更長時(shí)間的數(shù)據(jù)，從而確認(rèn)以前是否已經(jīng)受到攻擊，哪些部門曾受到攻擊。”

綠盟科技規(guī)劃經(jīng)理劉淑玲在接受本報(bào)記者采訪時(shí)表示，大數(shù)據(jù)分析幫助企業(yè)加強(qiáng)安全能力的同時(shí)，還可以建立信譽(yù)評(píng)估機(jī)制，對(duì)海量信息做關(guān)聯(lián)分析還能準(zhǔn)確感知國家信息安全態(tài)勢(shì)。他認(rèn)為國內(nèi)一些行業(yè)也在嘗試，但尚沒有成功案例。

事實(shí)上，一些安全廠商已經(jīng)在身體力行了。周濤向記者透露，啟明星辰在大數(shù)據(jù)研究上重視宏觀網(wǎng)絡(luò)感知和微觀威脅檢測(cè)兩方面：“首先是宏觀安全狀態(tài)感知，要在廣域網(wǎng)分布式計(jì)算產(chǎn)生的大量檢測(cè)設(shè)備的基礎(chǔ)上，評(píng)估廣域網(wǎng)的安全態(tài)勢(shì)。如果有異常系統(tǒng)要報(bào)警，甚至還要預(yù)測(cè)異常的發(fā)展。”周濤說，在微觀層面，“啟明星辰更主要的是研究APT攻擊。惡意代碼的隱蔽性越來越好，攻擊途徑越來越多。黑客如何從微觀領(lǐng)域獲得大量數(shù)據(jù)來獲取攻擊信息，如何通過這種局部的攻擊數(shù)據(jù)來構(gòu)筑整個(gè)攻擊場景”。

在安全態(tài)勢(shì)感知上，啟明星辰建立起一系列安全基本指標(biāo)模型，“在海量數(shù)據(jù)采集的基礎(chǔ)上，從原始數(shù)據(jù)中進(jìn)行二次提取，并且建立一些指標(biāo)，將其分為基礎(chǔ)指標(biāo)、應(yīng)用層指標(biāo)等多種類型，然后基于指標(biāo)之間的關(guān)聯(lián)分析、每個(gè)指標(biāo)的變化狀況，對(duì)宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)做出判斷。”周濤透露，這項(xiàng)研究在一些城域網(wǎng)安全項(xiàng)目中已經(jīng)得到成功應(yīng)用。#p#

分析模型與商業(yè)智能不同

在分析平臺(tái)上，安全廠商和商業(yè)智能領(lǐng)域的數(shù)據(jù)分析一樣，也采用在Hadoop架構(gòu)，在其基礎(chǔ)上構(gòu)建分析模型。

但是在分析模型上，安全領(lǐng)域的數(shù)據(jù)挖掘跟商業(yè)智能領(lǐng)域的數(shù)據(jù)挖掘有很大差別。首先，安全廠商需要從不完整的部分?jǐn)?shù)據(jù)中還原出全部的完整數(shù)據(jù)和場景。其次，數(shù)據(jù)挖掘在海量數(shù)據(jù)的基礎(chǔ)上，進(jìn)行精確識(shí)別和深度檢查，進(jìn)行二次分析，來識(shí)別真正的威脅。這與商業(yè)智能軟件的分析有很大差別。

“商業(yè)智能分析軟件使用的是精簡的算法、關(guān)聯(lián)分析預(yù)測(cè)等，在單點(diǎn)分析方面比較成功。與商業(yè)智能領(lǐng)域不同，當(dāng)信息安全邁進(jìn)大數(shù)據(jù)時(shí)代，數(shù)據(jù)量大幅上升，數(shù)據(jù)異構(gòu)，不同廠商對(duì)同一個(gè)文件的報(bào)警不同，如果直接對(duì)其進(jìn)行分析很難產(chǎn)生效果。另外，在商業(yè)智能領(lǐng)域，越是重復(fù)出現(xiàn)的信息越有用，但是在安全領(lǐng)域，經(jīng)常出現(xiàn)的信息卻被認(rèn)為是安全文件。”周濤認(rèn)為，這是安全廠商的數(shù)據(jù)挖掘與傳統(tǒng)數(shù)據(jù)挖掘的最大不同。

只是技術(shù)發(fā)展一個(gè)階段

盡管大數(shù)據(jù)火熱，但在安全領(lǐng)域，并沒有專門針對(duì)大數(shù)據(jù)安全的產(chǎn)品和解決方案出現(xiàn)。“就國內(nèi)研發(fā)水平看，要推出針對(duì)大數(shù)據(jù)安全的解決方案，尚需時(shí)日。”趙糧表示，大數(shù)據(jù)分析是一件體系化的事情，有能力建設(shè)并運(yùn)營這個(gè)平臺(tái)的機(jī)構(gòu)“少之又少”，因?yàn)槠脚_(tái)建設(shè)需要耗費(fèi)更多資源和財(cái)力，大多數(shù)企業(yè)難以承受。領(lǐng)導(dǎo)廠商可能會(huì)建立部分能力，用戶可能會(huì)選擇跟安全服務(wù)提供商聯(lián)合，或者是在某種程度上的一些外包，來實(shí)現(xiàn)自己的既定目標(biāo)。

此外趙糧稱，專門針對(duì)大數(shù)據(jù)的解決方案和產(chǎn)品意義不大，因?yàn)椴粫?huì)出現(xiàn)一個(gè)像防火墻那樣產(chǎn)品化的大數(shù)據(jù)分析產(chǎn)品，不會(huì)是用戶只需要輸入數(shù)據(jù)就能獲得分析的結(jié)果。這種情況不會(huì)出現(xiàn)。趙糧表示：“歸根結(jié)底，安全是人和人的對(duì)抗，所以永遠(yuǎn)無法用產(chǎn)品來搞定。”

對(duì)于當(dāng)前一些SIEM廠商聲稱能夠在大數(shù)據(jù)時(shí)代有效查找APT攻擊，MacDonald也表示懷疑。他認(rèn)為，目前的SIEM產(chǎn)品無法處理這么大的工作量，大多數(shù)SIEM產(chǎn)品提供接近實(shí)時(shí)數(shù)據(jù)，但只能處理規(guī)范化數(shù)據(jù)，還有些SIEM產(chǎn)品能夠處理大量原始交易數(shù)據(jù)，但無法提供實(shí)時(shí)情報(bào)信息。

一個(gè)技術(shù)能夠生存的前提是能夠帶來實(shí)實(shí)在在的價(jià)值，如果對(duì)它的投入產(chǎn)出達(dá)不到預(yù)期，企業(yè)對(duì)這項(xiàng)技術(shù)的關(guān)注度就會(huì)下降，人們就會(huì)從開始接受、正視現(xiàn)實(shí)，變成有點(diǎn)失望，最終徹底失望。“到現(xiàn)在為止，雖然人們給予大數(shù)據(jù)很多期望，但是沒有一個(gè)產(chǎn)品、顧問或者使用者能夠證實(shí)我用這個(gè)技術(shù)到底找出了哪些APT攻擊，解決了什么樣的業(yè)務(wù)問題。”趙糧稱，“所以，大數(shù)據(jù)分析對(duì)解決安全問題能夠起到多大的效果，誰也說不準(zhǔn)。隨著技術(shù)向前發(fā)展，大數(shù)據(jù)分析也只能在一兩年之內(nèi)起到安全防護(hù)作用。”