如何评估大数据分析产品的安全性
作者:管理员    发布于:2016-11-09 10:18:59    文字:【】【】【
摘要:大数据安全分析技术融合了大数据的可扩展性,并将其与 Advanced Analytic 和 安全事件管理系统( security event and incident management systems,SIEM) 结合起来。在不久的将来,大数据安全分析将会变成像病毒检测和漏洞扫描一样常见。网络犯罪以及其他恶意行为的不断增加正促使企业部署更多的安全控制、收集越来越多的相关数据。

  大数据安全分析技术融合了大数据的可扩展性,并将其与 Advanced Analytic 和 安全事件管理系统( security event and incident management systems,SIEM) 结合起来。在不久的将来,大数据安全分析将会变成像病毒检测和漏洞扫描一样常见。网络犯罪以及其他恶意行为的不断增加正促使企业部署更多的安全控制、收集越来越多的相关数据。结果,大数据分析方面的进展被用于以更宽和更深的分析为目的的安全监控中,以保护昂贵的企业资源。下面由学习111为大家准备的怎么评估大数据分析产品的安全性,希望能帮助大家更好的了解大数据安全分析技术。

  因素1:统一的数据管理

  统一的数据管理是一个大数据安全分析系统的基础,负责存储和查询企业数据。由于关联数据库在扩展时比分布式NoSQL数据库代价要高,处理大规模数据通常会使用Cassandra 或 Accumulo 等这样的分布式数据库。当然,这些数据库也其缺点。例如,实现ACID transaction等这些理所当然存在的数据库特征的分布式版本就变得非常困难。

  因此,大数据安全分析产品背后的数据管理平台需要在数据管理特性和代价、可扩展性之间进行权衡。数据库应该具备在不阻塞的情况下实时写入新数据的能力。相似的,查询也要能够支持针对流入的安全数据的实时分析。

  因素2:支持多种数据类型

  容量、速度和种类是大数据的三个关键特性。安全事件数据的多样性使得把数据集成到一个大数据安全分析产品变得富有挑战性。 >>> 推荐阅读 >>>未来为什么会需要大数据安全分析

  事件数据的收集粒度是不同的。例如,网络报文就是底层、细粒度的数据;而有关任何管理员密码变化的日志项就是粗粒度的。尽管数据的收集粒度不同,他们之间仍然是有关联的。网络报文就可能包含了攻击者访问服务器,甚至在取得访问权限后修改管理员密码的相关信息。

  不同类型的事件数据的含义也各不相同。网络报文信息可以帮助分析人员了解两个终端之间传输的内容,而一份漏斗扫描日志在某种意义上描述了服务器或其他设备在一段时间内的运行状态。大数据安全分析平台需要理解这些数据类型的含义,以更好的进行数据集成。

  因素3:可扩展的数据获取

  大数据分析安全产品必须要能够从服务器、终端、网络和其他架构组件中获得数据。这些设备的状态是一直都在发生变化的。数据获取组件的主要风险在于它是否能够及时接收流入的数据。一旦数据获取组件出现问题,数据就会丢失,威胁到整个平台的存在意义。

  系统可以通过维护一个容量很大、吞吐率很高的队列来实现可扩展的数据获取。此外,一些数据库通过对写操作只追加的方法来支持大规模写。这样,新流入的数据直接添加到commit日志的末尾,而非磁盘的某个块。该方法可以大大减少随机写操作的延迟。或者,数据管理系统会维护一个写缓冲区。如果消息出现突发传输或者磁盘出现写失效,缓冲区可以帮助暂时存储数据,等待数据库恢复正常。

  一个大数据分析平台如何收集收据是另外一个要考虑的关键点。收集数据所需要的时间使得探测安全事件的速度可以有所放缓。数据收集点的位置决定了它所收集的数据的宽度和类型。例如, Cybereason Platform 部署的传感器就运行在终端操作系统的用户空间。这样,数据收集就可以在影响用户体验和更底层内核功能的情况下进行。即使是在设备无法连接企业网络时,Cybereason的传感器仍然可以收集数据。

  因素4:安全分析工具

  Hadoop和 Spark 等大数据平台都是通用型的工具。尽管它们可以被用于构建安全工具,它们本身并不是 安全分析工具 。大数据安全分析工具应该能够扩展,以满足企业所产生的大规模数据的分析需求。而Hadoop和Spark等这样的工具正好满足了这样的条件。同时,分析人员也应该能够以信息安全的角度所应该取得的抽象层次来查询事件数据。例如,一个分析人员应该能够查询工作在特定服务器或应用的用户的联系以及这些机器/应用之间的联系。这种类型的查询就需要图型分析工具,而非传统的关联数据库中的行查询或列查询。

  安全分析也同样非常依赖恶意行为相关的知识。RSA Security Analytics包括的RSA Live服务负责将数据处理和关联规则发送到部署的设备中。这些新的规则可被用于分析刚到达的实时数据和存储在RSA Security Analytics系统的历史数据。与Fortscale类似,RSA Security Analytics也采用了数据科学的相关技术来增强分析的质量。

  此外,LogRhythm的分析工作流包括了处理、机器分析和取证分析三个阶段。处理阶段负责数据转换,提高原始数据被有用的模式探测到的可能性。它包括了事件标准化、数据分类、 metadata 标记和风险上下文分析。

  因素5:合规报告、警告和监控

  合规报告是当今企业所必须要具备的功能。很多用于合规目的的数据元素都和最好的安全实践绑定在一起。甚至对于那些对合规报告没有硬性需求的公司而言,合规报告也可以很好的用于内部规划。。了解一个大数据安全平台的报告制度满足了企业对于合规方面的特殊需求,是非常重要的。

  大数据安全分析工具的功能:

  大数据安全分析工具可以分析很多种的数据类型,也可以处理大规模的数据。当然,并非所有的机构都需要用到当前大数据安全分析产品的所有功能。但是,正在寻找保护企业数据安全工具的机构应该考虑大数据安全分析工具所能扮演的角色。

  对于大企业和需要存储详细的事件数据的企业,IBM QRadar是一个不错的选择。该平台能够扩展到P字节规模的能力将会是一个很大的亮点。Hawkeye的数据仓库模型和列导向存储使得它能够针对信息安全进行商业智能的报告。这样,当企业需要高级报告或者定制化的报告时,Hawkeye AP就是一个很好的选择。而当企业需要在设备离线的情况下继续捕获事件数据时,它可以考虑Cybereason。此外,RSA Security Analytics和LogRhythm's Security Intelligence Platform可以很好的配合来处理很多数据类型的情况。Splunk提供了大量的数据源连接器,可以很好满足拥有大量数据源的企业的需求。

  大数据安全分析目前主要被大企业所采用。但是,随着相关工具的花费和复杂度不断降低,中等规模的企业、甚至小企业最后也肯定会意识到该技术的好处。

 
版权所有 Copyright(C)2009-2018 速德贝斯科技有限公司  
keywords:CEP CEP