当数据越来越多、网络越来越普遍的时候,传统的设定边界的安全防护模式越来越力不从心。用大数据技术进行安全分析,也就是大数据安全分析方法,渐入主流。
IDC预测,到2020年,云安全、互联网安全和大数据安全将成为信息安全市场的三大支柱,而大数据安全又是未来保证企业安全的重中之重。早在两年前,Gartner也已经预言,安全的边界会越来越模糊,大数据将成为解决安全问题的关键所在。而且Gartner的数据显示,过去企业将安全预算的90%投入在防御方面,而今后60%的安全预算将用于侦测与响应。
所以,现在一些老牌的信息安全企业加速向大数据安全、云安全和互联网安全的方向转型,而同时还有一些新型的安全公司冒了出来,在大数据安全的应用上颇有收获。未来,大数据安全的看点多多。
看点一:企业专有大数据安全分析产品
对于当前激烈的企业竞争来说,大数据成为商界领导者们最为关注的方向。
瀚思安信认为,基于大数据框架对企业的系统、应用和用户访问行为数据进行存储与分析,并采用机器学习和算法来检测异常行为,是业界公认的抵御新型外部攻击(APT)和内部人员恶意窃取核心数据的最有效方式,可以最大限度地保护企业信息资产安全。基于这样的理念,翰思安信推出了下一代大数据安全分析平台HanSight Enterprise。
HanSight Enterprise是面向大企业级用户的收费平台,具备三个优势功能:第一,数据采集。瀚思安信自带的日志采集器可以获取网络与安全设备日志、操作系统日志、应用日志、数据库日志或是任何有时间戳的数据源。同时,瀚思安信也支持对网络流(NetFlow)的采集。
第二,数据存储和关联分析。瀚思安信的解决方案能够为分析模块提供实时或者长期的关联分析。系统对硬件的要求也不高,能直接在通用x86硬件设备上运行,并具备非常高的吞吐量、数据压缩率和持久的大规模数据存储能力。系统提供了跨越多个数据源和系统的事件关联分析能力,不论是实时关联分析还是基于历史数据的关联分析。
第三,安全智能分析。安全分析是瀚思安信的灵魂,通过对大量的历史日志信息进行机器学习与算法分析来侦测出异常行为模式和隐藏的威胁,无论是外部APT攻击,还是内部人员泄密。通过过滤和分析大而复杂的数据集,洞彻安全威胁的变化。
点评:国际上知名安全公司的大数据安全拳头产品有Fireeye,HP ArcSight和Splunk Enterprise Security,瀚思安信的HanSight Enterprise功能和定位与之相似,都是对企业整个流量的监控和安全分析,或多或少涉及对第三方安全日志、网络流、第三方应用日志流量的分析。瀚思安信的联合创始人兼首席运营官董昕称,瀚思安信在处理的数据量、对外部威胁的侦测能力、对内部异常行为的侦测等都要好于那些国际知名公司的知名产品。
当然,仅凭瀚思安信自己的说辞并不能证明其大数据安全分析能力的优势,这个上线才1年的产品还需要更多的应用来证明,正如这家成立不到2年的公司今后发展轨迹如何也需要时间来证明一样。不过,目前国内某银行的网银系统采用了HanSight Enterprise,找出了很多以前用户没有发现的内部和外部的攻击。
看点二:探测全网络的大数据安全分析平台
对于当前激烈的企业竞争来说,大数据成为商界领导者们最为关注的方向。
在网络安全领域耕耘多年的知道创宇,有两个主要的大数据安全分析产品:ZoomEye和加速乐。
ZoomEye是对网络空间(包括网页和主机的端口)进行主动性的探测搜索,看是否有漏洞。这样做的目的是要比黑客更早地发现风险,并反馈给用户。而且通过ZoomEye,知道创宇还可以针对每次安全事件进行影响范围定位以及漏洞修复过程的跟踪,能比其他安全公司更早地掌握安全事件的真实情况。
加速乐云防御平台在大数据方向主要应用于对黑客攻击行为的跟踪、定位。知道创宇副总裁余弦称,目前每天通过加速乐平台分析的数据有近20亿条,其中约有超过1亿次的攻击数据,从这些攻击数据中,安全研究人员能分析出黑客攻击的网站、使用的手法、漏洞的类型等等,达到正向防御的效果。作为一个免费使用的防御平台,加速乐每天吸引超过500个企业加入。加入的企业越多,加速乐获得的分析数据也越多,捕捉到的黑客行为轨迹也越准确。
点评:知道创宇专注于网络安全,分析的流量主要是HTTP流量,面对的安全服务对象是网站,而不是企业的整体安全。和HanSight Enterprise、Fireeye,HP ArcSight,Splunk Enterprise Security不同,知道创宇的大数据安全分析平台只分析HTTP流量,定位也不是APT检测,而是防御。它也适合应用在公有云环境中,为网络安全防御服务。
看点三:嵌入硬件平台的大数据安全分析产品
对于当前激烈的企业竞争来说,大数据成为商界领导者们最为关注的方向。
启明星辰的大数据安全分析平台TSOC-BDSAP和HanSight Enterprise类似,也是在客户的异构海量数据如事件、网络原始流量、文件等信息中,结合关联分析、机器学习、实时分析、历史分析和人机交互等多种分析方法,发现传统的安全产品无法检测的安全攻击和威胁,例如APT攻击。
启明星辰泰合产品本部总经理叶蓬称,TSOC-BDSAP主要面向大型企业级市场,尤其是金融、能源、电力、运营商行业。其次是面向政府行业,尤其是政务云环境下的大数据安全分析。选择大型企业级市场是因为这类单位基本实现了业务和网络的大集中,并且有切实的天量安全数据需要处理和分析,存在较高的APT风险。这些客户需要有全新的技术手段来提升现有安全防护和安全对抗的水平。选择政务云环境,是因为在政务云环境下的安全具有显著的大数据分析需求和条件,一些经典的大数据安全分析场景可以得到实际的运用。
目前,TSOC-BDSAP已经在几个企业级客户中进行了测试、试用和试点,并中标了两个政务云的大数据安全项目。
不过,叶蓬也指出,目前国内应用大数据安全分析平台基本处于调研和试点的阶段,尚未大规模应用,但是随着整个大数据生态的完备,以及对于网络与信息安全诉求的日益迫切,这个市场将很快迎来爆发期。
点评:启明星辰是国内信息安全龙头企业,在安全解决方案上既有硬件平台,也有软件平台,还有一大批政企客户资源。这些客户的信息化正处于向私有云转型的阶段,启明星辰在此转型时机推出私有云安全的软硬方案,而方案中自然会嵌入启明星辰自己的TSOC-BDSAP,TSOC-BDSAP在推广上相对更加容易一点。
