今年，大數(shù)據(jù)技術(shù)在全球企業(yè)中被大規(guī)模采用，但與此同時，大數(shù)據(jù)技術(shù)的應(yīng)用也給安全管理帶來新的挑戰(zhàn)，高達(dá)83%的企業(yè)遭受過高級持續(xù)威脅的攻擊。

面對大數(shù)據(jù)環(huán)境下企業(yè)面臨的安全問題，如何在第一時間通過SIEM平臺幫助企業(yè)做出風(fēng)險決策？傳統(tǒng)的安全信息與事件管理（SIEM）在大數(shù)據(jù)環(huán)境下有何不足？隨著大數(shù)據(jù)應(yīng)用的逐步深入，SIEM將發(fā)生新的變革，并迎來更多發(fā)展機(jī)遇。

大數(shù)據(jù)系統(tǒng)凸顯安全互聯(lián)價值

在今天這個大數(shù)據(jù)時代，安全架構(gòu)正變得更加復(fù)雜，由此增加了企業(yè)管理的復(fù)雜度。在這樣的架構(gòu)下，如果架構(gòu)之間互相割裂，我們便無法在每一個單獨(dú)的系統(tǒng)中獲取有價值的威脅信息，從而形成報警。攻擊者由此得以不斷嘗試安全漏洞，竊取需要的信息。反之，如果有安全互聯(lián)，那么，任何一個看似不起眼的安全事件都可以跟其他不相關(guān)的事件整合在一起，形成報警。這樣一來，攻擊者無法再輕易嘗試，因為他的每一次嘗試都可能形成一個整體報警。

安全互聯(lián)平臺什么樣？邁克菲資深信息安全專家程智力表示，今天的IT環(huán)境下，企業(yè)需要對無邊界網(wǎng)絡(luò)進(jìn)行識別。安全互聯(lián)平臺，首先是需要可視，了解網(wǎng)絡(luò)里有什么，需要類似于監(jiān)視器和攝像頭的系統(tǒng)；第二是做及時的響應(yīng)，面對問題要實時有效的響應(yīng)；最后是持續(xù)的管理。在大數(shù)據(jù)的環(huán)境下做持續(xù)的安全管理和響應(yīng)，靠人工管理會是個沉重的負(fù)擔(dān)，不過如果基于技術(shù)手段和平臺來做則會輕松很多，而做到這一點(diǎn)最基礎(chǔ)的就是安全互聯(lián)。

在整個安全互聯(lián)平臺架構(gòu)中，實現(xiàn)可視性并實施預(yù)警是其中一個重要的基礎(chǔ)環(huán)節(jié)，安全信息與事件管理系統(tǒng)（SIEM）至關(guān)重要。傳統(tǒng)SIEM僅關(guān)注報告和合規(guī)，但在今天的威脅環(huán)境下，傳統(tǒng)的SIEM顯然力不從心。我們需要更全面地了解整個網(wǎng)絡(luò)的異常情況，在應(yīng)用層了解數(shù)據(jù)偷竊如何發(fā)生，并對協(xié)議層和文檔層進(jìn)行更多保護(hù)。在邁克菲亞太區(qū)副總裁兼首席技術(shù)官M(fèi)ichael Sentonas看來，將以上功能進(jìn)行整合，結(jié)合威脅信息數(shù)據(jù)庫，并對終端、網(wǎng)絡(luò)、數(shù)據(jù)庫中的安全數(shù)據(jù)進(jìn)行實時分析，這將會成為未來SIEM產(chǎn)品和解決方案具有革命性的創(chuàng)新方向。

邁克菲下一代SIEM之道

4年前，邁克菲的產(chǎn)品已能實現(xiàn)100%的集成和整合，邁克菲由此正式提出安全互聯(lián)概念。邁克菲安全互聯(lián)的總目標(biāo)是將所有產(chǎn)品整合集成，實現(xiàn)在單一管理控制臺上對不同策略進(jìn)行管理。安全互聯(lián)平臺的推出則是其整個安全互聯(lián)戰(zhàn)略中具有革命性的一步，它可將不同技術(shù)做更好的整合，做實時智能威脅信息分析，并更好地針對這些攻擊進(jìn)行響應(yīng)。

邁克菲安全互聯(lián)平臺(SCP)包含硬件架構(gòu)層、數(shù)據(jù)/自動化層、安全管理平臺、應(yīng)對措施層和數(shù)據(jù)分析層。其中，在硬件方面，邁克菲推出深度安全保護(hù)架構(gòu)——Deep SAFE架構(gòu)，結(jié)合母公司英特爾的主動管理技術(shù)，能實現(xiàn)基于硬件級別操作系統(tǒng)之下的安全保護(hù)。在安全互聯(lián)平臺中，邁克菲下一代SIEM Nitro系統(tǒng)的作用舉足輕重，如果說管理平臺是架構(gòu)、底盤，那么Nitro就是發(fā)動機(jī)，是關(guān)聯(lián)所有部件最核心的部位。Nitro可把不同安全管理的系統(tǒng)、事件進(jìn)行有效的收集整理，并進(jìn)行標(biāo)準(zhǔn)化，再按照邁克菲安全專家所提出的關(guān)聯(lián)建議及企業(yè)自身安全風(fēng)險情況，將其整合成比較容易理解的安全警報，即把安全威脅數(shù)據(jù)（機(jī)器語言）轉(zhuǎn)化成可以被理解的語言。

邁克菲安全互聯(lián)平臺(SCP)

與傳統(tǒng)SIEM相比，下一代SIEM究竟有何不同？程智力表示，邁克菲下一代SIEM的最大改變是性能。傳統(tǒng)SIEM并不是為大數(shù)據(jù)的安全時代所設(shè)計，其數(shù)據(jù)庫采用的有扁平的文件類型的數(shù)據(jù)，也有關(guān)系類型的數(shù)據(jù)。扁平的文件類型的數(shù)據(jù)庫，可以很快寫入，但索引能力很差，在做查詢或分析時，效率很低。關(guān)系型數(shù)據(jù)庫索引做得不錯，但讀寫速度慢。大數(shù)據(jù)時代，我們每秒鐘看到的事件是海量的，這是傳統(tǒng)的SIEM遠(yuǎn)遠(yuǎn)不能應(yīng)對的。下一代SIEM有非常好的專屬數(shù)據(jù)庫，既能夠很快的讀寫數(shù)據(jù)，又能夠?qū)崿F(xiàn)快速查詢，由此能應(yīng)對大數(shù)據(jù)安全時代的特點(diǎn)；下一代SIEM與傳統(tǒng)SIEM的不同之處還在于，傳統(tǒng)SIEM更多是對事件進(jìn)行收集，并加以呈現(xiàn)，很少做數(shù)據(jù)深度挖掘和關(guān)聯(lián)，而下一代SIEM能識別更多上下文信息和數(shù)據(jù)背景，傳統(tǒng)SIEM看到的往往是時間、地點(diǎn)、目標(biāo)、IP地址，是枯燥的孤立的事件描述，卻沒有更多的反映出事件來自于什么用戶，沒有物理信息，也沒有描述這些事件跟互聯(lián)網(wǎng)上的安全事件的關(guān)聯(lián)，下一代的SIEM呈現(xiàn)的背景信息則包括：目標(biāo)主機(jī)的操作系統(tǒng)及風(fēng)險情況、事件操作的用戶、該用戶在進(jìn)行該事件時的應(yīng)用程序是什么，物理位置是什么。目前，能看到的風(fēng)險多是基于某一個應(yīng)用的，很少有單獨(dú)的基于操作系統(tǒng)的攻擊，只有識別應(yīng)用才能做到更深入的分析和安全呈現(xiàn)。