如何选择合适的大数据安全分析平台

来源:中琛源 浏览次数: 更新时间:2021-04-27 09:16:32

  大数据安全分析技术结合了先进的安全事件分析功能和事故管理系统功能(SIEM),适用于很多企业案例,但不是全部。在投资大数据分析平台之前,请考虑公司使用大数据安全系统的组织的能力水平。这里需要考虑几个因素,从需要保护的IT基础设施,到部署更多安全控制的成本和益处。


  基础设施规模


  拥有大量IT基础设施的组织是大数据安全分析主要候选者。应用程序、操作系统和网络设备都可以捕获到恶意活动的痕迹。单独一种类型的数据不能提供足够的证据来标识活动的威胁,多个数据源的组合可以为一个攻击的状态提供更全面的视角。


  现有的基础设施和安全控制生成了原始数据,但是大数据分析应用程序不需要收集、采集和分析所有的信息。在只有几台设备,而且网络结构不是很复杂的环境中,大数据安全分析可能并不是十分必要,在这种情况下,传统的SEIM可能已经足够。


  近实时监控


  驱动大数据安全分析需求的另一个因素是近实时采集事故信息的必要性。在一些保存着高价值数据、同时又容易遭受到严重攻击的环境中,实时监控尤为重要,如金融服务、医疗保健、政府机构等。


  最近Verizon的研究发现,在60%的事件,攻击者能够在几分钟内攻克系统,但几天内检测到漏洞的比例也很低。减少检测时间的一种方法是从整个基础设施中实时地收集多样数据,并立即筛选出与攻击事件有关的数据。这是一个大数据分析的关键用例。


  详细历史数据


  尽管尽了最大努力,在一段时间内可能检测不到攻击。在这种情况下,能够访问历史日志和其它事件数据是很重要的。只要有足够的数据可用,取证分析可以帮助识别攻击是如何发生的。


  在某些情况下,取证分析不需要确定漏洞或纠正安全弱点。例如,如果一个小企业受到攻击,最经济有效的补救措施可能雇安全顾问来评估目前的配置和做法,并提出修改建议。在这种情况下,并不需要大数据安全分析。其他的安全措施就可能很有效,而且价格便宜。


  本地vs云基础架构


  顾名思义,大数据安全分析需要收集和分析大量各种类型的数据。如捕获网络上的所有流量的能力,对捕获安全事件信息的任何限制,都可能对从大数据安全分析系统获得的信息的质量产生严重影响。这一点在云环境下尤其突出。


  云提供商限制网络流量的访问,以减轻网络攻击的风险。例如,云计算客户不能开发网段来收集网络数据包的全面数据。前瞻性的大数据安全分析用户应该考虑云计算供应商是如何施加限制来遏制分析范围的。


  有些情况下,大数据安全分析对云基础设施是有用的,但是,特别是云上有关登录生成的数据。例如,亚马逊Web服务提供了性能监控服务,称为CloudWatch的,和云API调用的审计日志,称为CloudTrail。云上的操作数据可能不会和其他数据源的数据一样精细,但它可以补充其他数据源。


  利用数据的能力


  大数据安全分析摄取和关联了大量数据。即使当数据被概括和聚集的时候,对它的解释也可能是很有挑战性的。从大数据分析产生的信息的质量,部分上讲是分析师解释数据能力的一项指标。当企业与安全事件扯上关系的时候,它们需要那些能够切断攻击链路,以及理解网络流量和操作系统事件的安全分析师。


  例如,分析师可能会收到一个数据库服务器上有关可疑活动的警报。这很可能不是一个攻击的第一步。分析师是否可以启动一个警报,并通过导航历史数据找到相关事件来确定它是否确实是一个攻击?如果不能,那么该组织并没有意识到大数据安全分析平台带来的好处。


  其他安全控制


  企业在投身大数据安全分析之前,需要考虑它们在安全实践方面的整体成熟度。也就是说,其他更便宜和更为简单的控制应该放在第一位。


  应该定义、执行和监测清晰的身份和访问管理策略。例如,操作系统和应用程序应该定期修补。在虚拟环境的情况下,机器图像应定期重建,以确保最新的补丁被并入。应该使用警报系统监视可疑事件或显著的环境变化(例如服务器上增加了一个管理员帐户)。应当部署web应用防火墙来减少注入攻击的风险和其他基于应用程序的威胁。


  大数据安全分析的好处可能是巨大的,尤其是当部署到已经实现了全面的防御战略的基础设施。


  大数据安全分析商业案例


  大数据安全分析是一项新的信息安全控制技术。这些系统的主要用途是合并来自于多个来源的数据,并减少手动集成解决方案的需求。同时还解决了其他安全控制存在的不足,例如跨多个数据源查询困难。通过捕获来自于多个来源的数据流,大数据分析系统提高了收集取证重要细节的机会。


  中琛魔方大数据平台表示大数据安全分析在资金和人力资源上的投资非常昂贵。考虑一个新的安全平台将如何集成现有的安全和日志记录工具。虽然一个新的大数据安全分析系统和现有的安全控件之间有可能存在功能上的重叠,但这并不一定是坏事。冗余功能可以帮助减轻系统错过潜在威胁的风险。

上一篇:大数据系统架构是什么
来源:中琛源
更新时间:2021-04-26 09:27:41
下一篇:大数据安全分析的特征有哪些
来源:中琛源
更新时间:2021-04-27 09:20:24