盘点你所不知道的数据安全分析工具知识

　　·统一的数据管理 

　　·支持多种类型的数据，包括日志、安全漏洞和网络流 

　　·可扩展的数据获取 

　　·专门针对信息安全的分析工具 

　　·合规报告
 

 

　　统一的数据管理
 

　　统一的数据管理可谓是大数据安全分析产品的基石，而数据管理平台负责存储和查询整个企业的数据。它还得兼顾数据管理功能与成本和可扩展性。
 

　　由于Hadoop是一种广泛使用的大数据管理平台和相关生态系统，看到它用作许多大数据安全分析平台的基础不足为奇。比如说，Fortscale就使用Cloudera Hadoop发行版。这样一来，新节点添加到集群中后，Fortscale平台就可以实现线性扩展。
 

　　IBM的QRadar使用一种分布式数据管理系统，该系统提供了横向扩展数据存储这种功能。在一些情况下，分布式安全信息管理系统(SIEM)可能只需要访问本地数据，但是在一些情况下(尤其是取证分析)，用户可能需要跨分布式平台来搜索数据。IBM QRadar还集成了一个搜索引擎，它既可以本地搜索，又可以跨平台搜索。与此同时，该大数据SIEM使用数据节点，而不是存储区域网(SAN)，这有助于尽量降低成本和管理复杂性。这种基于数据节点的分布式存储模式可以扩展，支持数PB的存储空间――那些企业组织需要大量的长期存储。
 

　　RSA Security Analytics也采用了一种分布式联合架构来支持线性扩展。扩展以支持大量数据时，RSA工具中的分析工作流可满足一个关键需求：确定事件和任务的优先级，提高分析效率。
 

　　Hexis Cyber Solutions公司的Hawkeye分析平台(Hawkeye AP)基于一个数据仓库平台，专门分析安全事件数据。除了拥有可扩展的低层数据管理功能(比如能够将大量数据存储在多台服务器上的文件中)外，拥有以结构化方式查询数据的工具也很重要。Hawkeye AP经过了优化，以一种分时方式来存储数据，因而不需要全局重建索引。它还被设计成一种只读数据库。这便于优化性能，但是更为重要的是，它确保数据一旦被写入，不会被篡改。值得一提的是，Hawkeye AP使用了针对分析应用经过优化的列式数据存储，而不是行式存储。
 

　　支持多种类型的数据
 

　　数量、速度和种类是经常用来描述大数据的三个术语。诸多种类的安全事件数据给大数据安全分析产品在数据整合方面带来了诸多挑战。
 

　　RSA Security Analytics的解决之道是采用一种模块化架构，从而在保持能够添加其他数据源的同时，还能够获取多种类型的数据。该平台旨在可以获取大量的完整网络数据包、NetFlow数据、端点数据和日志。
 

　　有时候，多种类型的数据就意味着使用多款安全工具。比如说，IBM的QRadar就有一个安全漏洞管理器组件，该组件旨在整合来自众多安全漏洞扫描器的数据，然后为该数据补充网络使用方面的上下文相关信息。IBM Security QRadar Incident Forensics是另一个专用模块，可使用网络流数据和完整数据包捕获技术，分析安全事件。该取证分析工具包括一个扩展后可支持数TB网络数据的搜索引擎。
 

　　LogRhythm的安全情报平台(Security Intelligence Platform)是大数据安全分析平台广泛支持众多数据类型的另一个例子，包括系统日志、安全事件、审计日志、机器数据、应用程序日志和网络流数据。该平台可分析来自这些数据源的原始数据，生成文件完整性、进程活动、网络通信、用户和活动等方面的第二层数据。
 

　　Splunk Enterprise Security让分析员得以搜索数据，并执行可视化关联，以此识别恶意事件，并收集那些事件的上下文方面的数据。
 

　　可扩展的数据获取
 

　　大数据分析安全产品必须获取来自服务器、端点设备、网络及状态不断变化的其他基础设施部件的数据。这个数据获取环节的主要风险在于，无法应对不断涌入的数据。
 

　　大数据安全分析工具在处理大量数据的同时，还能够分析众多类型的数据。
 

　　Splunk因广泛的数据获取功能而大受好评。该平台不仅提供了连接到数据源的连接件，还支持自定义连接件。数据在获取后以无模式(schema-less)的方式来存储并索引，因而支持不同类型的数据，同时仍提供快速的查询响应。
 

　　至于IBM QRadar，它可以从单个设备的部署扩展到地域分散的系统。与本文介绍的其他工具一样，这款大数据产品旨在满足大企业的需求。IBM QRadar在实际的应用环境中被用来处理每秒数十万个事件。小公司或刚开始使用IBM QRadar的企业可能会把该系统部署在云环境，尽量减少基础设施管理。混合部署也不无可能。那样，事件和网络流可在云端处理，只有整理后的事件数据发回到本地系统。
 

　　另一种重要的整合类型就是数据增强(data augmentation)。数据增强是指这个过程：收集事件数据时，为它增添上下文信息。比如说，RSA Security Analytics增强所分析的网络数据的办法就是，增添网络会话、威胁指标及其他细节方面的详细信息，有助于分析员了解低层安全数据方面的更全面情况。
 

　　大数据分析平台如何收集收据是要考虑的另一个关键方面。收集数据所需的时间给检测安全事件有多快设定了下限。数据收集点的位置决定了所收集数据的宽度和类型。比如说，Cybereason平台部署了在端点设备操作系统的用户空间中运行的传感器，因而可以在不影响用户体验或更低层内核功能的情况下收集数据。设备未连接到企业网络时，Cybereason传感器照样可以收集数据。
 

　　安全分析工具
 

　　大数据安全分析工具应该可以扩展，以适应企业生成的数据量。与此同时，分析员应该能够在考虑到信息安全视角的抽象层面查询事件数据。
 

　　Fortscale采用了统称为数据科学技术的机器学习和统计分析，以适应安全环境方面的变化。这些技术让Fortscale得以基于数据，而不是仅仅基于预定义的规则来开展分析工作。网络上的基准行为发生变化时，机器学习算法就能检测到变化，更新固定的规则集，不需要人类的干预。
 

　　RSA Security Analytics包括了预定义的报告和规则，让分析员能够迅速开始充分利用大数据分析SIEM系统收集的数据。
 

　　安全分析还高度依赖恶意活动方面的情报。RSA Security Analytics包括的RSA Live服务可将数据处理和关联规则发送到部署的RSA Security Analytics系统。这些新规则可用来分析实时发来的新数据和存储在RSA Security Analytics系统上的历史数据。与Fortscale一样，RSA Security Analytics也使用数据科学技术，提高分析质量。
 

　　与此同时，LogRhythm的分析工作流包括数据处理、机器分析和取证分析这三个阶段。处理这个步骤以多种方式转换数据，提高从原始数据检测到有用模式的可能性。这个处理包括时间规范、数据分类、元数据标记和风险上下文分析。
 

　　合规报告、警报和监控
 

　　某种类型的合规报告是如今大多数企业要求的一项*功能。有必要知道这一点：企业组织在考虑的那种大数据安全平台内置的报告方法要满足其特定的合规要求。
 

　　IBM Security QRadar Risk Manager附件提供了管理网络设备配置，以支持合规和风险管理的工具。Risk Manager附件的功能包括：自动监控、支持多家厂商产品的审计、合规策略评估以及威胁建模。
 

　　如上所述，Fortscale使用机器学习算法，不断评估基准活动方面的变化，检测异常事件。系统检测到这些事件后，可以发出警报，并提供关于事件的上下文信息。
 

　　RSA Security Analytics本身随带近90种模板，以满足《萨班斯-奥克斯利法案》(SOX)、《健康保险可携性及责任性法案》(HIPAA)、支付卡行业数据安全标准(PCI DSS)等法规的报告要求，终用户基本上不需要费太大的劲，
 

　　SIEM系统中的报告和警报机制在日益完成，支持的对象绝不于固定报告和简单警报。比如说，Cybereason平台经过了特别设计，可以自动检测恶意活动。该平台提供了一个调查控制台，可以汇总信息，并直观地显示攻击时间表、受影响的用户和设备。
 

　　Splunk Enterprise Security通过包括关键的安全和性能指标以及趋势指标的仪表板，可以实现持续监控。该平台还支持确定优先级的工作流。Splunk平台还支持跟踪高优先级用户，并报告试图访问关键应用程序的活动。
 

　　Hawkeye AP随带400个报告，这些报告可以根据特定的需求来加以改动。由于Hawkeye AP使用关系数据库技术，除了ODBC和JDBC驱动程序外，还支持ANSI Standard SQL，有一个选项：可以使用得到广泛采用的企业报告工具来创建自定义报告。
 

　　除了实时报告仪表板外，LogRhythm的平台还包括针对风险大小确定了优先级的警报和标准报告。它还包括供取证分析员使用的额外工具，包括：案例管理工具、证据锁柜和事件跟踪度量指标。
 

　　大数据安全分析工具的功能
 

　　大数据安全分析工具能够分析多种类型的数据，同时还可以处理大量数据。并非所有的企业组织都需要如今的大数据安全分析产品具有的所有功能，不过如果企业在寻求下一款重要工具来确保企业数据安全，应考虑大数据安全分析工具所扮演的角色。
 

　　对于大企业和需要保留详细的事件数据的企业来说，IBM QRadar是个合理的选择。该平台能够扩展到PB级规模，这对这类企业来说将是一大亮点。Hawkeye AP的数据仓库模型和使用列式存储将商业智能报告功能带给了信息安全人员，因而需要报告或自定义报告功能时，它是值得考虑的平台。如果在设备离线的情况下需要继续获取事件数据，应该考虑Cybereason。与此同时，RSA Security Analytics和LogRhythm的安全情报平台很适合数据类型众多的使用场合。Splunk提供了一系列广泛的数据源连接件，因而对拥有大量数据源的企业来说是另一个不错的选择。
 

　　大数据安全分析工具对大企业来说可能更有吸引力，但是随着这类工具的成本和复杂性不断降低，中等规模的企业、终乃至小公司也会开始获得这项技术带来的好处。