企业和其他组织一直在充满敌意的信息安全环境中运行,在这个环境中,计算和存储资源成为攻击者使用入侵系统进行恶意攻击的目标。其中,个人机密信息被窃取,然后被放在地下市场出售,而国家支持的攻击导致大量数据泄露。在这种情况下,一个企业需要部署大数据安全性分析工具来保护有价值的公司资源。
大数据信息安全分析与其他领域的安全分析的区别主要表现在五个主要特征。
主要特性1:可扩展性
大数据分析其中的一个主要特点是可伸缩性。这些平台必须拥有实时或接近实时的数据收集能力。网络流通是一个不间断的数据包流,数据分析的速度必须要和数据获取的速度一样快。该分析工具不可能让网络流通暂停来赶上积压的需要分析的数据包。
大数据的安全分析不只是用一种无状态的方式检查数据包或进行深度数据包分析,对这个问题的理解是非常重要的。虽然这些都是非常重要和必要的,但是具备跨越时间和空间的事件关联能力是大数据分析平台的关键。这意味着只需要一段很短的时间,一个设备(比如web服务器)上记录的事件流,可以明显地与一个终端用户设备上的事件相对应。
主要特性2:报告和可视化
大数据分析的另一个重要功能是对分析的报告和支持。安全专家早就通过报表工具来支持业务和合规性报告。他们也有通过带预配置安全指标的仪表板来提供关键性能指标的高层次概述。虽然现有的这两种工具是必要的,但不足以满足大数据的需求。
对安全分析师来说,要求可视化工具通过稳定和快速的识别方式将大数据中获得的信息呈现出来。例如,Sqrrl使用可视化技术,能够帮助分析师了解相互连接的数据(如网站,用户和HTTP交易信息)中的复杂关系。
主要特性3:持久的大数据存储
大数据安全分析名字的由来,是因为区别于其他安全工具,它提供了突出的存储和分析能力。大数据安全分析的平台通常采用大数据存储系统,例如Hadoop分布式文件系统(HDFS)和更长的延迟档案储存,以及后端处理,以及一个行之有效的批处理计算模型MapReduce。但是MapReduce并不一定是非常有效的,它需要非常密集的I/O支出。一个流行工具Apache Spark可以作为MapReduce的替代,它是一个更广义的处理模型,相比MapReduce能更有效地利用内存。
大数据安全分析平台的另一个重要特点是智能反馈,在那里建立了漏洞数据库以及安全性博客和其他新闻来源,潜在的有用信息能够被持续更新。大数据安全平台可从多种来源提取数据,能够以它们自定义的数据收集方法复制威胁通知和关联信息。
主要特性4:信息环境
由于安全事件产生这么多的数据,就给分析师和其他信息安全专业人员带来了巨大的风险,限制了他们辨别关键事件的能力。有用的大数据安全分析工具都在特定用户、设备和时间的环境下分析数据。
没有这种背景的数据是没什么用的,并且会导致更高的误报率。背景信息还改善了行为分析和异常检测的质量。背景信息可以包括相对静态的信息,例如一个特定的雇员在特定部门工作。它还可以包括更多的动态信息,例如,可能会随着时间而改变的典型使用模式。例如,周一早晨有大量对数据仓库的访问数据是很正常的,因为管理者需要进行一些临时查询,以便更好地了解周报中描述的事件。
主要特性5:功能广泛性
大数据安全分析的最后一个显著特征是它的功能涵盖了非常广泛的安全领域。当然,大数据分析将收集来自终端设备的数据,可能是通过因特网连接到TCP或IP网络的任何设备,包括笔记本电脑、智能手机或任何物联网设备。除了物理设备和虚拟服务器,大数据安全分析必须加入与软件相关的安全性。例如,脆弱性评估被用于确定在给定的环境中的任何可能的安全漏洞。
大数据分析平台,也可以使用入侵检测产品分析系统或环境行为,以发现可能的恶意活动。
大数据安全分析与其他形式的安全分析存在质的不同。需要可扩展性,需要集成和可视化不同类型数据的工具,环境信息越来越重要,安全功能的广泛性,其让导致供应商应用先进的数据分析和存储工具到信息安全中。
4139
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
