评估大数据安全分析平台的五个因素

评估大数据安全分析平台的五

个因素

专家Dan Sullivan概述了评估大数据安全分析平台的标准，以收集，分析和管理为信息安全目的而生成的大量数据。

互联网上网络犯罪和其他恶意活动风险的增加促使企业部署更多的安全控制并收集比以往更多的数据。因此，大数据分析的进步现在正被应用于安全监控，以进行更广泛和更深入的分析，以保护宝贵的公司资源。这项技术称为大数据安全分析，部分利用了大数据的可扩展性，并将其与高级分析和安全事件以及事件管理系统（SIEM）相结合。

大数据安全分析适用于许多（但不是全部）用例。考虑检测和阻止高级持续威胁技术的挑战。使用这些技术的攻击者可能会采用节奏缓慢，低可见性的攻击模式来避免被发现。传统的日志记录和监控技术可能会错过这种攻击。攻击的步骤可能在不同的设备上发生，在较长的时间段内，并且似乎是不相关的。扫描日志和网络流的可疑活动有时可能会错过攻击者杀伤链的关键部分，因为它们与正常活动的差异可能不大。避免丢失数据的一种方法是收集尽可能多的信息。这是大数据安全分析平台中使用的方法。

顾名思义，这种安全分析方法借鉴了用于收集，分析和管理高速生成的大量数据的工具和技术。这些相同的技术用于驱动产品- 从用于流式视频用户的电影推荐系统，到车辆性能特征的分析，以优化运输车队的效率。它们在应用于信息安全时同样有用。

在评估大数据安全分析平台时，请务必考虑对实现大数据分析的全部优势至关重要的五个因素：

∙统一数据管理平台;

∙支持多种数据类型，包括日志，漏洞和流量;

∙可扩展的数据摄取;

∙特定于信息安全的分析工具; 和

∙合规报告。

这些功能共同提供了以生成数据的速度收集大量数据所需的广泛功能，并能够足够快地分析数据，使信息安全专业人员能够有效地响应攻击。

因素＃1：统一数据管理平台

统一的数据管理平台是大数据安全分析系统的基础; 数据管理平台存储和查询企业数据。这听起来像一个众所周知和解决的问题，它不应该是一个区别特征，但它是。使用大量数据通常需要分布式数据库，因为关系数据库不像分布式NoSQL数据库那样经济高效地扩展 - 例如Cassandra和Accumulo。同时，NoSQL数据库的可扩展性也有其自身的

缺点。例如，很难实现我们可能认为理所当然的数据库的某些功能的分布式版本，例如ACID事务。

大数据安全分析产品的数据管理平台必须在数据管理功能与成本和可

扩展性之间取得平衡。数据库应该具有实时写入新数据的能力，而不会阻止写入。同样，查询应该足够快地执行以支持对传入安全数据的实时分析。

要考虑的统一数据管理平台的另一个重要方面是数据集成。

因素＃2：支持多种数据类型

大数据通常用数量，速度和种类来描述。各种安全事件数据给数据集成带来了许多挑战。

以不同的粒度级别收集事件数据。例如，网络数据包是低级细粒度数据，而有关服务器上管理员密码更改的日志条目则相当粗粒度。然而，尽管存在明显差异，但它们之间可能存在联系。网络数据包可以捕获有关攻击者到达目标服务器的方法的数据，并且一旦获得访问权限，就可以更改管理员密码。

事件数据的语义因数据类型而异。网络数据包信息有助于分析人员了解两个端点之间传输的数据，而漏洞扫描日志在某种程度上描述了服务器或其他设备在较长时间内的状态。大数据安全分析平台需要有关不同数据类型语义的足够信息才能充分集成它们。

因素＃3：可扩展的数据摄取

服务器，端点，网络和其他基础架构组件不断变化。其中许多状态更改记录了应传输到大数据安全分析平台的有用信息。假设网络具有足够的带宽，则最大的风险是安全分析平台的数据提取组件无法跟上传入的数据。如果是这种情况，数据可能会丢失，从而破坏了部署大数据安全分析平台的目的。

系统可以通过维持消息队列中排队数据的高写入吞吐量来适应可伸缩

数据摄取。同时，某些数据库旨在通过使用仅附加写入方法来支持高容量写入。数据附加到提交日志的末尾，而不是写入磁盘上的任意块。这减少了与随机写入磁盘相关的延迟。或者，数据管理系统可以维护一个队列，该队列充当缓冲区，以在数据写入磁盘时保存数据。如果消息出现峰值或硬件故障导致写入操作变慢，则数据可能会累积在队列中，直到数据库可以清除积压的写入。

因素＃4：安全分析工具

大数据平台，如Hadoop和Spark，是通用工具。虽然它们对于构建安全工具很有用，但它们本身并不是安全分析工具。分析工具应进行扩展，以满足组织基础架构中生成的数据大小。通过这种方式，Hadoop和Spark 等工具符合标准。此外，安全分析工具应考虑不同数据类型（如用户，服务器和网络）之间的关系。

分析师应该能够从信息安全的角度在抽象层次上查询事件数据。例如，分析师应该能够查询使用特定服务器和应用程序的用户与它们之间的

链接之间的链接。这种查询需要更多类似图形的分析工具，而不是与关系数据库一起使用的传统列和行查询。

因素＃5：合规报告

合规报告不再是“很高兴”的要求。为合规目的而报告的许多数据元素都与安全最佳实践相关联。即使在公司不必维护合规报告的情况下，它们也可用于内部监督。

在需要合规性报告时，请查看各种大数据安全平台中包含的报告制度，以确保满足您的业务需求。

有效部署大数据安全分析平台

大数据安全分析利用安全分析和SIEM工具等的分析功能，利用大数据平台的可扩展性。重要的是要认识到，有效部署大数据安全分析平台需要两者的特征以及本文中描述的五个因素。简单地使用“安全”一词重新命名大数据平台，或坚持SIEM可以处理大数据规模 - 即使它不是为此目的而设计的 - 绝不会使其成为真正的大数据安全分析平台。