安全分析工具可以收集、篩選、整合以及關(guān)聯(lián)各種類型的安全事件數(shù)據(jù)，用于獲取更全面地了解企業(yè)基礎(chǔ)設(shè)施安全性。任何擁有大量設(shè)備(從臺式機(jī)到移動設(shè)備到服務(wù)器和路由器等)的企業(yè)都可以受益于安全性分析。

目前，安全分析市場正在快速轉(zhuǎn)變：供應(yīng)商在合并，開發(fā)人員在添加新功能，同時，曾經(jīng)完全部署在本地的工具現(xiàn)在開始作為云服務(wù)提供。然而，面對這么迅速的變化，企業(yè)對安全分析的要求仍然基本保持不變，例如分析日志、關(guān)聯(lián)事件和生成警報(bào)的能力。自此，我們將看看市面上的主要安全分析產(chǎn)品，并提供建議以幫助企業(yè)更好地選擇滿足需求的合適產(chǎn)品。

當(dāng)前并沒有涵蓋所有要求的單一安全分析用例分類，但常見需求模式包括：

• 只有最小開支的基本安全分析

• 大型企業(yè)用例

• 專注于高級持續(xù)性威脅

• 專注于取證

• 安全工具和服務(wù)組合

這些分類強(qiáng)調(diào)了對關(guān)鍵安全分析特性的不同需求，這些特性包括部署模式、模塊化、分析的范圍和深度、取證、監(jiān)控、報(bào)告和可視化等。本文中評估了很多產(chǎn)品，包括Blue Coat Security Analytics Platform、Lancope Stealth Watch System、瞻博網(wǎng)絡(luò)JSA Series Secure Analytics、EMC RSA Security Analytics NetWitness、FireEye威脅分析平臺、Arbor Networks Security Analytics、Click Security Click Commander和Sumo Logic的云服務(wù)。

只有最小開支的基本安全分析

中小企業(yè)往往是吸引攻擊者的目標(biāo)，雖然他們可能沒有較大型企業(yè)那么多寶貴的數(shù)據(jù)，但他們通常更容易攻擊。同時，受行業(yè)法規(guī)(例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI DSS和健康保險(xiǎn)攜帶與責(zé)任法案HIPAA)監(jiān)管的企業(yè)必須部署安全控制來保護(hù)個人身份信息，在HIPAA的情況下，這意味著需要保護(hù)健康信息。對于中小企業(yè)，安全分析工具可以幫助緩解數(shù)據(jù)泄露和其他攻擊的風(fēng)險(xiǎn)，另外，這些工具應(yīng)該滿足幾個標(biāo)準(zhǔn)來適應(yīng)中小企業(yè)的需求。

例如，部署模式應(yīng)該最大限度地減少管理開銷。設(shè)備和云服務(wù)通常符合這些標(biāo)準(zhǔn)，而虛擬機(jī)部署可能也提供低開銷的部署。

Sumo Logic公司的云服務(wù)就是針對中小型企業(yè)的服務(wù)。這個日志分析服務(wù)提供單點(diǎn)管理儀表板，用于監(jiān)控應(yīng)用程序、服務(wù)器和網(wǎng)絡(luò)資源。由于它是云服務(wù)，因此并不需要安裝和維護(hù)硬件或軟件。該服務(wù)還包括預(yù)先定義的報(bào)告，這意味著它很適合需要生成合規(guī)性報(bào)告的企業(yè)，特別是針對PCI DSS、HIPAA、聯(lián)邦信息安全管理法案(FISMA)、薩班斯-奧克斯利法案(SOX)、ISO和COBIT等要求。與此同時，該服務(wù)還利用機(jī)器學(xué)習(xí)算法進(jìn)行事件檢測，從而省去了手動起草規(guī)則的需要。并且，在管理儀表板中還會追蹤多維關(guān)鍵績效指標(biāo)(KPI)。

與其他云服務(wù)一樣，Sumo Logic云服務(wù)定價(jià)是基于用戶的數(shù)量和分析的數(shù)據(jù)量。

而對于想要在內(nèi)部部署安全分析軟件的中小型企業(yè)，則應(yīng)該考慮Blue Coat Security Analytics Platform，該平臺可作為虛擬機(jī)或者預(yù)先配置的設(shè)備。Blue Coat的平臺的模塊化結(jié)構(gòu)允許客戶選擇他們需要的組件，這些組件做為模塊交付，被稱為刀片。

大型企業(yè)用例

在另一方面是大型企業(yè)，這些企業(yè)需要考慮安全分析平臺的可擴(kuò)展性、分析的深度和范圍、取證以及監(jiān)控功能。雖然低管理開銷也很重要，但這是次要的考慮因素，首要考慮因素應(yīng)該是全面的高性能的分析。

瞻博網(wǎng)絡(luò)JSA Series Secure Analytics提供多種型號，可滿足各種企業(yè)的需求。例如，JSA 5800設(shè)備專門針對中型和大型企業(yè)，而JSA 7500則適合全球性企業(yè)。對于期望大幅度增長的較小型企業(yè)，可以先選擇JSA 3800或者JSA Virtual Appliance，在未來再選擇較大的設(shè)備。如果企業(yè)選擇該虛擬設(shè)備，則需要運(yùn)行VMware ESX 5.0或5.1、4 CPU和12GB RAM的服務(wù)器。

EMC RSA Security Analytics NetWitness平臺包含兩組模塊：一組提供基礎(chǔ)設(shè)施支持，而另一組提供分析服務(wù)。這兩組模塊按照不同配置來部署，以滿足不同的流量水平和分析要求。

RSA安全分析編碼器是其中一個基礎(chǔ)設(shè)施組件，該編碼器是一款網(wǎng)絡(luò)設(shè)備，用于實(shí)時收集數(shù)據(jù)包和日志數(shù)據(jù)。它支持廣泛的日志類型，在網(wǎng)絡(luò)中可部署多個解碼器以確保可擴(kuò)展性和可用性。另一個基礎(chǔ)設(shè)施組件的RSA安全分析集中器，它負(fù)責(zé)聚合來自編碼器的數(shù)據(jù)。另外，安全分析師和管理員可使用RSA安全分析經(jīng)紀(jì)人/分析服務(wù)器來查詢解碼器收集的數(shù)據(jù)以及集中器匯總的數(shù)據(jù)。

這個RSA Security Analytics分布式平臺非常適合大型網(wǎng)絡(luò)，因?yàn)殡S著網(wǎng)絡(luò)流量或日志卷的增長，企業(yè)可以添加基礎(chǔ)設(shè)施組件進(jìn)行擴(kuò)展。然而，與其他分布式系統(tǒng)一樣，它可能更加難以管理和配置。因此，企業(yè)需要計(jì)劃投資足夠的系統(tǒng)管理支持來監(jiān)控和維護(hù)該安全分析平臺。

該RSA平臺的分析組件提供對網(wǎng)絡(luò)、日志和端點(diǎn)數(shù)據(jù)的實(shí)時分析用于檢測事件。還有歸檔器用于存儲和報(bào)告收集的安全數(shù)據(jù)。

專注于高級持續(xù)性威脅

企業(yè)規(guī)模只是安全分析用例分類其中一個維度。有時候更合適的分類是考慮企業(yè)希望使用的最重要的功能。例如，如果企業(yè)已經(jīng)有良好的端點(diǎn)保護(hù)和數(shù)據(jù)收集功能，企業(yè)可能希望將重點(diǎn)放在高級持續(xù)威脅。而對于這個用例，企業(yè)需要的是專注分析范圍和深度以及支持取證的安全分析產(chǎn)品。

Arbor Pravail Security Analytics采用多種技術(shù)來實(shí)時檢測高級威脅。這個安全分析平臺使用全包捕捉來收集大量原始數(shù)據(jù)，從而幫助識別針對企業(yè)的多種攻擊源。同時，該平臺會存儲網(wǎng)絡(luò)流量數(shù)據(jù)，并在新數(shù)據(jù)進(jìn)入后重新分析流量數(shù)據(jù)。例如，如果該供應(yīng)商的情報(bào)監(jiān)視發(fā)現(xiàn)新類型的威脅，他們會開發(fā)和部署新的檢測技術(shù)，這些技術(shù)隨后可以分析舊數(shù)據(jù)來確定是否存在攻擊。

有些攻擊者會先攻擊網(wǎng)絡(luò)，然后在數(shù)周內(nèi)停止活動。這種攻擊模式可能很受攻擊者的青睞，因?yàn)樵谀承┣闆r下，這種攻擊活動更加難以檢測，它不會像持續(xù)攻擊那樣生成可識別的攻擊模式。通過保存歷史流量數(shù)據(jù)以及掃描這些數(shù)據(jù)查找先前的攻擊痕跡，企業(yè)可以更好地應(yīng)對采用這種攻擊模式的攻擊者。

除了分析歷史數(shù)據(jù)，分析流量也是發(fā)現(xiàn)高級持續(xù)威脅的重要手段。Lancope Stealthe Watch System使用有關(guān)網(wǎng)絡(luò)事件的流量記錄來檢測高級攻擊的不同階段。該Lancope系統(tǒng)包含一個數(shù)據(jù)聚集器，它會整合不同數(shù)據(jù)到單個可分析的網(wǎng)絡(luò)和數(shù)據(jù)事件數(shù)據(jù)源。另外，在高級攻擊的過程中，控制臺還會提供有關(guān)重要事件的最新數(shù)據(jù)和警報(bào)。

另外，Click Security公司的Click Commander很適合分析惡意攻擊者的行為、分析不同攻擊階段的活動以及發(fā)布警報(bào)和其他自定義通知。該工具還包含可視化工具，可用于創(chuàng)建活動圖表，同時提供攻擊者配置文件和情境數(shù)據(jù)以分析圖表中描述的事件。

專注于取證

目前，專注于高級持續(xù)威脅和專注于取證的用例中存在一些重疊。Arbor Pravail Security Analytics和Lancope Stealth Watch System都非常適合以取證為主的用例，而其他可收集和整合數(shù)據(jù)以及提供全面查詢及分析功能的系統(tǒng)也可以滿足取證支持的需求。

Blue Coat Security Analytics platform整合了很多安全工具，包括防火墻、數(shù)據(jù)丟失防護(hù)、入侵檢測系統(tǒng)/入侵防御系統(tǒng)和惡意軟件掃描器等。它還整合了數(shù)據(jù)生成或數(shù)據(jù)傳輸設(shè)備及工具，例如來自戴爾、惠普、McAfee、Palo Alto Networks和Splunk的產(chǎn)品。

安全工具和服務(wù)組合

對于需要整合安全控制與新安全分析平臺的企業(yè)而言，最好的產(chǎn)品應(yīng)該是可以允許他們部署可彌補(bǔ)其安全系統(tǒng)中功能差距的產(chǎn)品。在這種情況下，提供模塊化功能的供應(yīng)商是不錯的選擇。

例如，Blue Coat Security Analytics Platform允許客戶根據(jù)需要集成不同模塊或刀片。該平臺提供多種部署方法(包括設(shè)備和虛擬機(jī))，讓客戶可以部署提供合適功能和可擴(kuò)展水平的安全分析工具。

如果安全分析報(bào)告是首要考慮因素的話，則應(yīng)該考慮Sumo Logic的預(yù)先定義合規(guī)報(bào)告是否能滿足你的需求。而對于需要長期保存其安全數(shù)據(jù)的企業(yè)，則可以考慮EMC RSA Security Analytics NetWitness。

結(jié)論

安全分析工具解決了常見問題：如何使用企業(yè)基礎(chǔ)設(shè)施中的可用數(shù)據(jù)來發(fā)現(xiàn)威脅和攻擊、分析攻擊方法以及在發(fā)現(xiàn)攻擊時提醒系統(tǒng)管理員和應(yīng)用所有者。任何規(guī)模的企業(yè)都是潛在的攻擊目標(biāo)。

小型企業(yè)可能認(rèn)為他們不會受到老練的黑客的攻擊，但事實(shí)并不是這樣。他們可能擁有高價(jià)值的客戶，例如全球2000強(qiáng)企業(yè)、大型政府機(jī)構(gòu)等，而這些都是攻擊者的最終目標(biāo)。對于大型或小型企業(yè)而言，安全分析并不是第一道防線，但它是越來越重要的防御措施。

對于需要負(fù)責(zé)推薦、評估和購買安全分析平臺的IT專業(yè)人員，他們需要基于現(xiàn)有安全控制和應(yīng)用仔細(xì)評估其需求。但如果企業(yè)已經(jīng)部署了工具來滿足一些安全和分析要求，他們可能不會想花更多錢來獲得重復(fù)的功能。另一方面，如果說有個IT領(lǐng)域允許冗余功能存在的話，那肯定是安全領(lǐng)域。

安全分析提供了各種各樣的功能。有些產(chǎn)品(例如Sumo Logic的基于云的服務(wù))專門針對中小型企業(yè)，為他們提供廣泛的安全功能，而只需要很少的開銷。

而對于大型企業(yè)，則應(yīng)該考慮可處理大量流量以及可從全國或全球網(wǎng)絡(luò)收集數(shù)據(jù)的系統(tǒng)。瞻博網(wǎng)絡(luò)和EMC RSA的產(chǎn)品就屬于這一類。

此外，對于重視高級持續(xù)威脅檢測和取證的企業(yè)，提供網(wǎng)絡(luò)流量實(shí)時分析的工具是不錯的選擇。有些供應(yīng)商在其安全分析平臺中提供模塊化組件，這些可能非常適合用于填補(bǔ)安全功能中的空白區(qū)。