考核大數(shù)據(jù)安全分析平臺(tái)的五個(gè)要素

 在考核大數(shù)據(jù)安全分析平臺(tái)時(shí)，要確保對(duì)以下五個(gè)要素進(jìn)行評(píng)估，這對(duì)實(shí)現(xiàn)大數(shù)據(jù)分析的效果非常關(guān)鍵。這對(duì)于快速收集隨時(shí)產(chǎn)生的海量數(shù)據(jù)、快速進(jìn)行數(shù)據(jù)分析，確保安全人員高效響應(yīng)非常重要。大數(shù)據(jù)安全分析平臺(tái)評(píng)估五要素.中琛魔方大數(shù)據(jù)表示大數(shù)據(jù)分析平臺(tái)利用了大數(shù)據(jù)平臺(tái)的可擴(kuò)展性，以及安全分析與SIEM等工具的安全分析能力。因此，用戶在部署和采購時(shí)需要認(rèn)清這兩者的特征，以及這里所介紹的5個(gè)要素。簡單地給大數(shù)據(jù)平臺(tái)命名為“大數(shù)據(jù)安全分析平臺(tái)”，或者宣稱自己的SIEM(SOC)平臺(tái)能夠應(yīng)付海量安全大數(shù)據(jù)，都不會(huì)打造成真正的大數(shù)據(jù)安全分析平臺(tái)。

要素1:統(tǒng)一的數(shù)據(jù)管理平臺(tái)

統(tǒng)一的數(shù)據(jù)管理平臺(tái)是大數(shù)據(jù)分析系統(tǒng)的基礎(chǔ)。數(shù)據(jù)管理平臺(tái)存儲(chǔ)和查詢企業(yè)數(shù)據(jù)。這似乎是一個(gè)廣為所知，并且已經(jīng)得到解決的問題，不會(huì)成為區(qū)分不同企業(yè)產(chǎn)品的特色，但實(shí)際情況卻是，這仍是個(gè)問題。處理海量數(shù)據(jù)通常需要分布式數(shù)據(jù)庫，因?yàn)殛P(guān)系型數(shù)據(jù)庫不具備NoSQL數(shù)據(jù)庫的那種高效處理能力。但NoSQL數(shù)據(jù)庫的可擴(kuò)展性有自己的缺陷。因此，大數(shù)據(jù)安全分析產(chǎn)品的數(shù)據(jù)管理平臺(tái)需要平衡在成本與可擴(kuò)展性進(jìn)行平衡。數(shù)據(jù)庫需要能近乎實(shí)時(shí)去寫入新數(shù)據(jù)，同時(shí)能進(jìn)行快速查詢，以支持對(duì)安全數(shù)據(jù)的實(shí)時(shí)分析。統(tǒng)一數(shù)據(jù)管理平臺(tái)需要考慮的另一個(gè)重要方面是數(shù)據(jù)整合問題。

要素2:支持多種數(shù)據(jù)類型

正如上文所提到的，人們一般用三個(gè)“V”(大量、快速、多樣)來描述大數(shù)據(jù)。安全事件的數(shù)據(jù)多樣性給數(shù)據(jù)的整合帶來不少問題。大數(shù)據(jù)分析平臺(tái)利用了大數(shù)據(jù)平臺(tái)的可擴(kuò)展性，以及安全分析與SIEM工具的分析功能。安全事件數(shù)據(jù)收集會(huì)有不同的顆粒度。比如網(wǎng)絡(luò)包是一般層級(jí)較低、細(xì)粒度的數(shù)據(jù)，而修改服務(wù)器管理員密碼的日志則會(huì)是粗顆粒的數(shù)據(jù)。盡管存在不同，這些數(shù)據(jù)可能有關(guān)聯(lián)的。網(wǎng)絡(luò)包也可以捕獲有關(guān)攻擊者潛入目標(biāo)數(shù)據(jù)庫的數(shù)據(jù)。

安全事件數(shù)據(jù)的語義因種類而不同。網(wǎng)絡(luò)包的信息有助于分析人員了解終端見傳輸?shù)臄?shù)據(jù)，而漏洞掃碼的日志則會(huì)反映服務(wù)器或其他設(shè)備在特點(diǎn)時(shí)期的狀況。大數(shù)據(jù)分析平臺(tái)需要足夠掌握不同安全類型的語義信息，以便進(jìn)行整合和關(guān)聯(lián)分析。

要素3:合規(guī)報(bào)告

合規(guī)報(bào)告不再是可有可無的要求。很多用于合規(guī)報(bào)告目的的數(shù)據(jù)要素都與安全最佳實(shí)踐有關(guān)。即使是那些不需要合規(guī)報(bào)告的企業(yè)，這些報(bào)告仍可以用于內(nèi)部監(jiān)督。在需要合規(guī)報(bào)告的企業(yè)，需要審核大數(shù)據(jù)報(bào)告平臺(tái)是否包含了合規(guī)報(bào)告功能，以確保貴機(jī)構(gòu)的需要得到滿足。

要素4:可擴(kuò)展數(shù)據(jù)提取

服務(wù)器、終端、網(wǎng)絡(luò)與其他基礎(chǔ)設(shè)施的狀態(tài)都在不斷變化。很多狀態(tài)變化日志都是有用的信息，應(yīng)該傳送到大數(shù)據(jù)安全分析平臺(tái)。假設(shè)網(wǎng)絡(luò)帶寬充裕，最大的風(fēng)險(xiǎn)是安全分析平臺(tái)的數(shù)據(jù)提取組件無法支撐不斷涌入的安全數(shù)據(jù)。這種情況下，數(shù)據(jù)會(huì)丟失，從而損害部署大數(shù)據(jù)安全分析平臺(tái)的目的。

維持消息隊(duì)列中的查詢數(shù)據(jù)高寫入量，系統(tǒng)可以支持不斷增加的數(shù)據(jù)提取。同時(shí)，一些數(shù)據(jù)庫使用追加寫入的方式支持海量寫入。數(shù)據(jù)被追加到提交日志而不是隨意寫入到磁盤塊。這樣可以減少隨意寫入磁盤時(shí)的延遲。這種數(shù)據(jù)管理系統(tǒng)維持一個(gè)隊(duì)列可以作為寫入時(shí)的數(shù)據(jù)存儲(chǔ)緩沖。如果出現(xiàn)信息劇增或硬件故障，導(dǎo)致寫入操作，數(shù)據(jù)可以堆積在隊(duì)列中，直至數(shù)據(jù)庫消除積壓的寫入數(shù)據(jù)。

要素5:安全分析工具

Hadoop和Spark等大數(shù)據(jù)平臺(tái)都是通用目的的工具。它們可以幫助開發(fā)安全工具，但它們本身并不是安全分析工具。安全攻擊可以進(jìn)行擴(kuò)展以滿足企業(yè)基礎(chǔ)設(shè)施產(chǎn)生的數(shù)據(jù)規(guī)模。因此，Hadoop和Spark等工具滿足這一標(biāo)準(zhǔn)。但安全分析工具應(yīng)該負(fù)責(zé)解釋不同數(shù)據(jù)類型的關(guān)系，比如用戶、服務(wù)器和網(wǎng)絡(luò)。

分析人員應(yīng)該能從安全的角度抽取和查詢安全事件數(shù)據(jù)。例如，分析人員應(yīng)該能夠查詢用戶、服務(wù)器和應(yīng)用的關(guān)系。這種查詢需要更多類似曲線圖的分析工具，而不是在關(guān)系型數(shù)據(jù)庫進(jìn)行的傳統(tǒng)行列查詢。