Garnter:自建大数据安全分析平台恐失败

文章讲的是Garnter:自建大数据安全分析平台恐失败,就在2017年4月11日,Gartner的著名分析师Anton Chuvakin在其Gartner官方博客上称“企业和组织如果打算自建安全数据湖或者定制自己的大数据安全分工具的话,那么基本上肯定会失败”!

  Anton以自己在跟客户沟通中了解到的信息作为佐证,说包括一些财富50强在内的企业在几年前自建的所谓安全分析项目耗费了大量资源,但收效甚微。有的客户表示“我宁愿希望我们从未听说过Hadoop这个东东,我们浪费了数年时间在企图基于Hadoop构建安全分析能力之上”(we wish we’d never discovered Hadoop – we wasted years of trying to make a security analytics capability out of it.)

  Anton进一步探讨了可能的失败原因,包括:

  1)大数据池中充斥者垃圾数据;【我注:安全数据湖变成了安全数据臭水塘】

  2)收集数据其实是个坑;【我注:没错,要知道,SIEM/SOC厂商用了N年时间才差不多掌握收集数据的种种坑,自建大数据安全分析平台,那么这些坑还要重走一遍,flume, logslash并不像看上去那么easy】

  3)数据访问有问题。好不容易将数据导入湖中了,但是如何调出这些数据去进行分析?基本做的很失败,包括hadoop自身存在的问题。所以Facebook的人说“是时候停止用hadoop来做分析了”!hadoop做存储和批处理是OK的,但是不适合用于做分析。这篇文章进行了详细的论证。

  4)大部分项目止步于收集完数据,填满了大数据湖。后续的分析工作举步维艰。

  5)如果说还有什么分析功能的话,其实基本就是关键字全文搜索【注:当初说好的高级安全分析呢?】

  6)没有检测出什么威胁。大部分平台搭建好后,集成了各种分析工具,ML库,但是安全分析场景呢?对不起,没有。安全分析场景的构建远比想象中的更难。

  7)安全分析师匮乏【注:别指望什么AI,自动分析,没有安全分析师,平台的价值难以体现】

  结果呢,很多所谓成功的大数据安全分析项目其实就是装个ELK,把日志装进去,做个全文检索。这与当初的设想相去甚远。

  Anton对于在今年内自建大数据安全分析或者基于开源大数据安全分析平台(metron,spot等)的尝试都不看好。【我基本赞同这个观点,metron是从Cisco的OpenSOC而来,还处于孵化阶段,远未成熟。而自建平台需要通晓大数据技术和安全领域知识的跨界人才,要能将复杂的工程技术与深厚的攻防对抗能力结合起来,目前来看,这个要求太高】

  Anton的这个论断一出,立即引发了很多争论。我觉得Anton这么提也是为了振聋发聩,引起业界的重视。但无论如何,我们看看上面那些失败的可能因素分析,的确足够引起我们深思。

  放眼中国,我有些许“欣慰”,原来国内企业和组织的遭遇老外们甚至财富50强们也都正愁着呢。也许有些互联网公司会说自己就有自建的大数据安全分析平台,那么,请对照上面的内容自我检讨一下,无则加勉。

  那么怎样才是建设大数据安全分析平台的正确姿势呢?Anton没有明确提出来。不过,我个人认为,在近几年内,开放的混合架构可能是一个稳妥的选择。混合,也就是指混合商业的软件和开源的软件,有的部分用开源的,有的部分用商业化产品/组件,各施所长。开放,也就是说这个平台软件架构必须是开放可扩展的架构,能够将开源的组件和商业化的组件进行组合、扩展、替换。

  此外,在底层技术支撑架构的设计方面,要慎用Hadoop,千万不要觉得有个hadoop就多么牛掰,“言大数据必称hadoop”的思想很危险,spark也不是什么善茬儿。hadoop到底需要不需要?It depends,放到安全分析的情境之下,其实还有很多细致的考量。

  还有,大数据安全分析平台的工程化远比画一张设计图纸要难得多。从验证到投产更是对工程化的严峻考量。

  别忘了,构建这个平台本身不是目标,用起来,分析出安全问题才行。而这不是仅有平台就Ok的,还需要配套的组织和流程,以及——人!大数据安全分析非但没有降低对人的技能要求,反而大大提升了对人的能力要求。

  最后,其实不仅是将大数据应用于安全分析遇到的阻碍,在大数据的各个应用领域,都不是一帆风顺。之前Gartner已经警告过:大数据泡沫可能即将破裂。而在年初的Gartner数据与分析峰会上,同样也表达了对大数据项目的悲观预测,称“2017年部署的Hadoop系统中有多达70%将无法实现预期的成本节省或创造营收的目标”。

  Anyway,大数据安全分析平台必须做,做下来才能发现问题,才能去解决问题,系统才能不断进化,这是大势所趋,困难都将被克服。但是具体落地需要谨慎,don’t boil the whole ocean,不要盲目求新,要在继承的基础上去发展,以往其实有很多好的实践经验,不要扔掉。

  各位对此有何想法,欢迎交流。

作者:叶蓬

来源:IT168

原文链接:Garnter:自建大数据安全分析平台恐失败

时间: 2024-09-01 08:35:39

Garnter:自建大数据安全分析平台恐失败的相关文章

从东风号到和谐号,探秘启明星辰大数据安全分析平台

经过10年的发展,中国在高速铁路的建设和发展上取得了举世瞩目的成就,目前已经拥有全世界最大规模以及最高运营速度的高速铁路网.从最早的时速100公里的"东风号"内燃机车到最新的最高时速486公里的"和谐号"高速动车,中国铁路技术实现了快速跨越式发展,局部技术上已经走在了世界的前列. 同样,在信息安全领域,启明星辰公司也集安全分析和安全管理平台技术之大成,十年磨一剑,率先在国内推出了大数据安全分析平台,一举将中国信息安全分析和安全管理从"东风"号内燃

有一种信息安全战略叫“主动智能” 有一种安全守护为“大数据安全分析”

网络安全的重要性,在2016年再次上升到一个新的热点,云计算.大数据这些在互联网普及的衍生的新型技术显然在这一年中已经逐渐落地,与此同时带来的庞大数据量让网络攻击者们垂涎不止.数据对于黑客的诱惑越来越大,企业对于数据的保护越来越重视,在这场较量中,网络安全的守护者们除了坚守己任,更多的也是在捍卫一种能力. 同时,在这场较量中,也对传统安全厂商们提出了更高的挑战--网络安全已经不仅仅是杀毒软件.防火墙.IDS.IPS这些传统意义上的问题了,网络环境的复杂,攻击者们的技术能力提升,都对传统安全厂商提

为什么需要大数据安全分析?

毫无疑问,我们已经进入了大数据(Big Data)时代.人类的生产生活每天都在产生大量的数据,并且产生的速度越来越快.根据IDC和EMC的联合调查,到2020年全球数据总量将达到40ZB.2013年,Gartner将大数据列为未来信息架构发展的10大趋势之首.Gartner预测将在2011年到2016年间累计创造2320亿美元的产值. 大数据早就存在,只是一直没有足够的基础实施和技术来对这些数据进行有价值的挖据.随着存储成本的不断下降.以及分析技术的不断进步,尤其是云计算的出现,不少公司已经发现

动辄数百TB级数据的分析平台 海量并发无压力

从本质上来讲,大数据平台的目标都是完成对数据的采集.清洗.加工.加载.建模分析,可视化的过程.本文源自诸葛io创始人&CEO孔淼在AWS技术峰会上的分享内容,从技术架构和底层平台方面讲解全量数据处理的分析平台如何实现.本文为第三篇,此前分别从行业现状和趋势(原文<「场景化」增长的践行者:探寻大数据时代的商业变革>);及分析模型(原文<诸葛io围绕用户的场景化分析 驱动数据价值释放>)两方面阐述. 海量数据并发「无压力」用户会话真实「不切割」 数据收集端 诸葛io的数据采集采

大数据安全分析(理念篇)

一.引言 单纯的防御措施无法阻止蓄意的攻击者,这已经是大家都认同的事实,应对挑战业界有了诸多方面的探索和实践,而其中最有趣的就非安全分析莫属了,围绕着安全分析展开,我们可以看到大数据.安全智能.情景感知.威胁情报.数据挖掘.可视化等等,因为这些都是安全分析师手中的武器. 下面想针对个人有一定了解的地方,具体谈几个方面,每个方面单独成为一篇: 1.安全分析的相关背景及理念 2.安全分析中的狩猎(Hunting)和事件响应 3.安全分析与可视化 4.安全分析相关技能 今年的RSA大会主题是"变化,挑

云计算和外包数据安全分析及建议

本文讲的是云计算和外包数据安全分析及建议,[IT168 资讯]很多企业,要么已经配置了云计算,要么即将配置云计算.云计算是提高灵活性.减少成本的最新技术.通过提供捆绑.可升级的软件.基础设施.数据存储及通信解决方案,云计算供应商使公司节约了资金.避免了高成本IT承诺.获得了基于所需的有效系统规模,并且可迅速配置最新服务. 一.漫步云端前需要考虑的问题 然而,没有免费的午餐,外包云计算无法解决法律风险(伴随第三方对数据存储和传输位置的知晓而产生)这一关键问题.本文讨论的即是这一问题.在企业决定采用

大数据安全分析的阶段性建设

基于大数据的安全分析在国内已经火了一段时间,不同行业都在这方面有不少的投入,自建的大数据安全平台项目也屡见不鲜.具体有多少会如Gartner的分析师Anton Chuvakin认为的那样,大概率归于失败(Why Your Security Data Lake Project Will FAIL: http://blogs.gartner.com/anton-chuvakin/2017/04/11/why-your-security-data-lake-project-will-fail/ ),这

大数据安全分析“架构”

根据ESG研究公司表示,44%的大型企业(即拥有超过1000名员工的企业) 认为其安全数据收集和分析是"大数据"应用,而另外44%认为其安全数据收集和分析将会在未来2年内成为"大数据"应用.此外,86%的企业正在收集比两年前"更多"或"略多"的安全数据.这种增长趋势非常明显,大型企业正在收集.处理和保存越来越多的数据用于分析,他们使用来自IBM.Lancope.LogRhythm.Raytheon.RSA Security和S

LinkedIn文本分析平台:主题挖掘的四大技术步骤

LinkedIn前不久发布两篇文章分享了自主研发的文本分析平台Voices的概览和技术细节.LinkedIn认为倾听用户意见回馈很重要,发现反馈的主要话题.用户的热点话题和痛点,能够做出改善产品.提高用户体验等重要的商业决定.下面是整理后的技术要点. 文本分析平台及主题挖掘 文本数据挖掘是,计算机通过高级数据挖掘和自然语言处理,对非结构化的文字进行机器学习.文本数据挖掘包含但不局限以下几点:主题挖掘.文本分类.文本聚类.语义库的搭建.LinkedIn的Voices文本分析平台架构如下图,本文将侧