大數據分析平臺安全評估的五大要素.面對市場形形×××的大數據安全分析產品,用戶需要擦亮眼睛,辨僞識真。在考覈大數據安全分析平臺時,要確保對以下五個要素進行評估,這對實現大數據分析的效果非常關鍵。這對於快速收集隨時產生的海量數據、快速進行數據分析,確保安全人員高效響應非常重要。
大數據分析平臺安全評估的五大要素
要素1:統一的數據管理平臺
統一的數據管理平臺是大數據分析系統的基礎。數據管理平臺存儲和查詢企業數據。這似乎是一個廣爲所知,並且已經得到解決的問題,不會成爲區分不同企業產品的特色,但實際情況卻是,這仍是個問題。處理海量數據通常需要分佈式數據庫,因爲關係型數據庫不具備NoSQL數據庫的那種高效處理能力。但NoSQL數據庫的可擴展性有自己的缺陷。因此,大數據安全分析產品的數據管理平臺需要平衡在成本與可擴展性進行平衡。數據庫需要能近乎實時去寫入新數據,同時能進行快速查詢,以支持對安全數據的實時分析。統一數據管理平臺需要考慮的另一個重要方面是數據整合問題。
要素2:支持多種數據類型
正如上文所提到的,人們一般用三個“V”(大量、快速、多樣)來描述大數據。安全事件的數據多樣性給數據的整合帶來不少問題。
大數據分析平臺利用了大數據平臺的可擴展性,以及安全分析與SIEM工具的分析功能。安全事件數據收集會有不同的顆粒度。比如網絡包是一般層級較低、細粒度的數據,而修改服務器管理員密碼的日誌則會是粗顆粒的數據。儘管存在不同,這些數據可能有關聯的。網絡包也可以捕獲有關***者潛入目標數據庫的數據。
安全事件數據的語義因種類而不同。網絡包的信息有助於分析人員瞭解終端見傳輸的數據,而漏洞掃碼的日誌則會反映服務器或其他設備在特點時期的狀況。大數據分析平臺需要足夠掌握不同安全類型的語義信息,以便進行整合和關聯分析。
要素3:可擴展數據提取
服務器、終端、網絡與其他基礎設施的狀態都在不斷變化。很多狀態變化日誌都是有用的信息,應該傳送到大數據安全分析平臺。假設網絡帶寬充裕,最大的風險是安全分析平臺的數據提取組件無法支撐不斷涌入的安全數據。這種情況下,數據會丟失,從而損害部署大數據安全分析平臺的目的。
維持消息隊列中的查詢數據高寫入量,系統可以支持不斷增加的數據提取。同時,一些數據庫使用追加寫入的方式支持海量寫入。數據被追加到提交日誌而不是隨意寫入到磁盤塊。這樣可以減少隨意寫入磁盤時的延遲。這種數據管理系統維持一個隊列可以作爲寫入時的數據存儲緩衝。如果出現信息劇增或硬件故障,導致寫入操作,數據可以堆積在隊列中,直至數據庫消除積壓的寫入數據。
要素4:安全分析工具
Hadoop和Spark等大數據平臺都是通用目的的工具。它們可以幫助開發安全工具,但它們本身並不是安全分析工具。安全***可以進行擴展以滿足企業基礎設施產生的數據規模。因此,Hadoop和Spark等工具滿足這一標準。但安全分析工具應該負責解釋不同數據類型的關係,比如用戶、服務器和網絡。
分析人員應該能從安全的角度抽取和查詢安全事件數據。例如,分析人員應該能夠查詢用戶、服務器和應用的關係。這種查詢需要更多類似曲線圖的分析工具,而不是在關係型數據庫進行的傳統行列查詢。
要素5:合規報告
合規報告不再是可有可無的要求。很多用於合規報告目的的數據要素都與安全最佳實踐有關。即使是那些不需要合規報告的企業,這些報告仍可以用於內部監督。
在需要合規報告的企業,需要審覈大數據報告平臺是否包含了合規報告功能,以確保貴機構的需要得到滿足。
大數據分析平臺安全評估的五大要素.中琛魔方大數據表示:大數據分析平臺利用了大數據平臺的可擴展性,以及安全分析與SIEM等工具的安全分析能力。因此,用戶在部署和採購時需要認清這兩者的特徵,以及這裏所介紹的5個要素。簡單地給大數據平臺命名爲“大數據安全分析平臺”,或者宣稱自己的SIEM(SOC)平臺能夠應付海量安全大數據,都不會打造成真正的大數據安全分析平臺。