在不久的將來，大數據安全分析工具會變得像惡意軟件檢測和安全漏洞掃描工具一樣常見。那是由于，這種平臺讓企業得以獲取來自多個不同數據源的數據，以近實時的方式整合那些數據，分析模式、檢測惡意活動，并且監控、報告和進行取證分析調查。

　　

 

　　本文重點介紹了幾家領先的大數據安全分析工具廠商的一些最重要的功能特性，對照了獲得這種平臺的全部好處必不可少的五個必要因素，這些廠商包括Cybereason、Fortscale、Hexis Cyber Solutions、IBM、LogRhythm、RSA和Splunk。這五個因素包括如下：

　　·統一的數據管理

　　·支持多種類型的數據，包括日志、安全漏洞和網絡流

　　·可擴展的數據獲取

　　·專門針對信息安全的分析工具

　　·合規報告

　　統一的數據管理

　　統一的數據管理可謂是大數據安全分析產品的基石，而數據管理平臺負責存儲和查詢整個企業的數據。它還得兼顧數據管理功能與成本和可擴展性。

　　由于Hadoop是一種廣泛使用的大數據管理平臺和相關生態系統，看到它用作許多大數據安全分析平臺的基礎不足為奇。比如說，Fortscale就使用Cloudera Hadoop發行版。這樣一來，新節點添加到集群中后，Fortscale平臺就可以實現線性擴展。

　　IBM的QRadar使用一種分布式數據管理系統，該系統提供了橫向擴展數據存儲這種功能。在一些情況下，分布式安全信息管理系統(SIEM)可能只需要訪問本地數據，但是在一些情況下(尤其是取證分析)，用戶可能需要跨分布式平臺來搜索數據。IBM QRadar還集成了一個搜索引擎，它既可以本地搜索，又可以跨平臺搜索。與此同時，該大數據SIEM使用數據節點，而不是存儲區域網(SAN)，這有助于盡量降低成本和管理復雜性。這種基于數據節點的分布式存儲模式可以擴展，支持數PB的存儲空間――那些企業組織需要大量的長期存儲。

　　RSA Security Analytics也采用了一種分布式聯合架構來支持線性擴展。擴展以支持大量數據時，RSA工具中的分析工作流可滿足一個關鍵需求：確定事件和任務的優先級，提高分析效率。

　　Hexis Cyber Solutions公司的Hawkeye分析平臺(Hawkeye AP)基于一個數據倉庫平臺，專門分析安全事件數據。除了擁有可擴展的低層數據管理功能(比如能夠將大量數據存儲在多臺服務器上的文件中)外，擁有以結構化方式查詢數據的工具也很重要。Hawkeye AP經過了優化，以一種分時方式來存儲數據，因而不需要全局重建索引。它還被設計成一種只讀數據庫。這便于優化性能，但是更為重要的是，它確保數據一旦被寫入，不會被篡改。值得一提的是，Hawkeye AP使用了針對分析應用經過優化的列式數據存儲，而不是行式存儲。

　　支持多種類型的數據

　　數量、速度和種類是經常用來描述大數據的三個術語。諸多種類的安全事件數據給大數據安全分析產品在數據整合方面帶來了諸多挑戰。

　　RSA Security Analytics的解決之道是采用一種模塊化架構，從而在保持能夠添加其他數據源的同時，還能夠獲取多種類型的數據。該平臺旨在可以獲取大量的完整網絡數據包、NetFlow數據、端點數據和日志。

　　有時候，多種類型的數據就意味著使用多款安全工具。比如說，IBM的QRadar就有一個安全漏洞管理器組件，該組件旨在整合來自眾多安全漏洞掃描器的數據，然后為該數據補充網絡使用方面的上下文相關信息。IBM Security QRadar Incident Forensics是另一個專用模塊，可使用網絡流數據和完整數據包捕獲技術，分析安全事件。該取證分析工具包括一個擴展后可支持數TB網絡數據的搜索引擎。

　　LogRhythm的安全情報平臺(Security Intelligence Platform)是大數據安全分析平臺廣泛支持眾多數據類型的另一個例子，包括系統日志、安全事件、審計日志、機器數據、應用程序日志和網絡流數據。該平臺可分析來自這些數據源的原始數據，生成文件完整性、進程活動、網絡通信、用戶和活動等方面的第二層數據。

　　Splunk Enterprise Security讓分析員得以搜索數據，并執行可視化關聯，以此識別惡意事件，并收集那些事件的上下文方面的數據。

　　可擴展的數據獲取

　　大數據分析安全產品必須獲取來自服務器、端點設備、網絡及狀態不斷變化的其他基礎設施部件的數據。這個數據獲取環節的主要風險在于，無法應對不斷涌入的數據。

　　大數據安全分析工具在處理大量數據的同時，還能夠分析眾多類型的數據。

　　Splunk因廣泛的數據獲取功能而大受好評。該平臺不僅提供了連接到數據源的連接件，還支持自定義連接件。數據在獲取后以無模式(schema-less)的方式來存儲并索引，因而支持不同類型的數據，同時仍提供快速的查詢響應。

　　至于IBM QRadar，它可以從單個設備的部署擴展到地域分散的系統。與本文介紹的其他工具一樣，這款大數據產品旨在滿足大企業的需求。IBM QRadar在實際的應用環境中被用來處理每秒數十萬個事件。小公司或剛開始使用IBM QRadar的企業可能會把該系統部署在云環境，盡量減少基礎設施管理�；旌喜渴鹨膊粺o可能。那樣，事件和網絡流可在云端處理，只有整理后的事件數據發回到本地系統。

　　另一種重要的整合類型就是數據增強(data augmentation)。數據增強是指這個過程：收集事件數據時，為它增添上下文信息。比如說，RSA Security Analytics增強所分析的網絡數據的辦法就是，增添網絡會話、威脅指標及其他細節方面的詳細信息，有助于分析員了解低層安全數據方面的更全面情況。

　　大數據分析平臺如何收集收據是要考慮的另一個關鍵方面。收集數據所需的時間給檢測安全事件有多快設定了下限。數據收集點的位置決定了所收集數據的寬度和類型。比如說，Cybereason平臺部署了在端點設備操作系統的用戶空間中運行的傳感器，因而可以在不影響用戶體驗或更低層內核功能的情況下收集數據。設備未連接到企業網絡時，Cybereason傳感器照樣可以收集數據。

　　安全分析工具

　　大數據安全分析工具應該可以擴展，以適應企業生成的數據量。與此同時，分析員應該能夠在考慮到信息安全視角的抽象層面查詢事件數據。

　　Fortscale采用了統稱為數據科學技術的機器學習和統計分析，以適應安全環境方面的變化。這些技術讓Fortscale得以基于數據，而不是僅僅基于預定義的規則來開展分析工作。網絡上的基準行為發生變化時，機器學習算法就能檢測到變化，更新固定的規則集，不需要人類的干預。

　　RSA Security Analytics包括了預定義的報告和規則，讓分析員能夠迅速開始充分利用大數據分析SIEM系統收集的數據。

　　安全分析還高度依賴惡意活動方面的情報。RSA Security Analytics包括的RSA Live服務可將數據處理和關聯規則發送到部署的RSA Security Analytics系統。這些新規則可用來分析實時發來的新數據和存儲在RSA Security Analytics系統上的歷史數據。與Fortscale一樣，RSA Security Analytics也使用數據科學技術，提高分析質量。

　　與此同時，LogRhythm的分析工作流包括數據處理、機器分析和取證分析這三個階段。處理這個步驟以多種方式轉換數據，提高從原始數據檢測到有用模式的可能性。這個處理包括時間規范、數據分類、元數據標記和風險上下文分析。

　　合規報告、警報和監控

　　某種類型的合規報告是如今大多數企業要求的一項必備功能。有必要知道這一點：企業組織在考慮的那種大數據安全平臺內置的報告方法要滿足其特定的合規要求。

　　IBM Security QRadar Risk Manager附件提供了管理網絡設備配置，以支持合規和風險管理的工具。Risk Manager附件的功能包括：自動監控、支持多家廠商產品的審計、合規策略評估以及威脅建模。

　　如上所述，Fortscale使用機器學習算法，不斷評估基準活動方面的變化，檢測異常事件。系統檢測到這些事件后，可以發出警報，并提供關于事件的上下文信息。

　　RSA Security Analytics本身隨帶近90種模板，以滿足《薩班斯-奧克斯利法案》(SOX)、《健康保險可攜性及責任性法案》(HIPAA)、支付卡行業數據安全標準(PCI DSS)等法規的報告要求，最終用戶基本上不需要費太大的勁，

　　SIEM系統中的報告和警報機制在日益完成，支持的對象絕不僅限于固定報告和簡單警報。比如說，Cybereason平臺經過了特別設計，可以自動檢測惡意活動。該平臺提供了一個調查控制臺，可以匯總信息，并直觀地顯示攻擊時間表、受影響的用戶和設備。

　　Splunk Enterprise Security通過包括關鍵的安全和性能指標以及趨勢指標的儀表板，可以實現持續監控。該平臺還支持確定優先級的工作流。Splunk平臺還支持跟蹤高優先級用戶，并報告試圖訪問關鍵應用程序的活動。

　　Hawkeye AP隨帶400個報告，這些報告可以根據特定的需求來加以改動。由于Hawkeye AP使用關系數據庫技術，除了ODBC和JDBC驅動程序外，還支持ANSI Standard SQL，有一個選項：可以使用得到廣泛采用的企業報告工具來創建自定義報告。

　　除了實時報告儀表板外，LogRhythm的平臺還包括針對風險大小確定了優先級的警報和標準報告。它還包括供取證分析員使用的額外工具，包括：案例管理工具、證據鎖柜和事件跟蹤度量指標。

　　大數據安全分析工具的功能

　　大數據安全分析工具能夠分析多種類型的數據，同時還可以處理大量數據。并非所有的企業組織都需要如今的大數據安全分析產品具有的所有功能，不過如果企業在尋求下一款重要工具來確保企業數據安全，應考慮大數據安全分析工具所扮演的角色。

　　對于大企業和需要保留詳細的事件數據的企業來說，IBM QRadar是個合理的選擇。該平臺能夠擴展到PB級規模，這對這類企業來說將是一大亮點。Hawkeye AP的數據倉庫模型和使用列式存儲將商業智能報告功能帶給了信息安全人員，因而需要高級報告或自定義報告功能時，它是值得考慮的平臺。如果在設備離線的情況下需要繼續獲取事件數據，應該考慮Cybereason。與此同時，RSA Security Analytics和LogRhythm的安全情報平臺很適合數據類型眾多的使用場合。Splunk提供了一系列廣泛的數據源連接件，因而對擁有大量數據源的企業來說是另一個不錯的選擇。

　　大數據安全分析工具對大企業來說可能更有吸引力，但是隨著這類工具的成本和復雜性不斷降低，中等規模的企業、最終乃至小公司也會開始獲得這項技術帶來的好處。