大數據正在面臨著信息安全問題。這種情況驅使安全經理帶著批判的眼光看待現有的技術投資,特別是像安全信息管理系統(SIM)這樣的數據采集點,以便判斷它們是否能有助于實時安全分析事件數據。
企業需要盡可能實時知道在網絡中發生了什么事情。然而專家們一致認為在當前時刻實時分析不太可能,特別是對于SIM產品來說。對于“實時分析”真正意味著什么、SIM產品和其它分析技術能做什么、以及要實時觀察并對安全事件做出響應需要的資源這些問題,安全團隊應該調整他們的期望值。
“這有些雄心勃勃,特別是對于SIM產品來說。因為事件必須恰好被記錄下來,發到SIM產品或者日志管理產品的歸并組件、然后通過規則引擎運行”,位于新罕布什爾州的Security Curve咨詢公司的創建人Diana Kelley談到。“所有這一切要花費時間,并且它不是實時的。你不是像IPS或是下一代防火墻那樣觀察在線流量。比起事件通過日志管理系統、解析數據、然后被發到運行關聯規則的SIM來說,那更加接近于實時”。
對于SIM產品來說可操作的信息一直是遙遠美麗而又很難實現的美景,找到有價值的信息通常讓步于令人困擾的規則編寫和集成練習。SIM產品的規則編寫可能是艱辛的任務,因為像所有基于簽名技術的防御措施一樣、安全團隊需要明白他們尋找什么以便建立正確的告警閾值。
“如果閾值設置太高的話,你無法足夠迅速地收到告警,”Kelley談到。“如果設置太低的話,SIM產品的告警數量會把你擊垮。弄清楚這些閾值設置為多少使得編寫規則是如此錯綜復雜。日志管理產品或是SIM產品用于取證分析可能更佳——這就像大海撈針。但如果你不知道從哪里開始,那就真成問題了。”
最終的結果經常是人們對產品感到灰心,有時候公司以關閉產品的分析功能告終,只留下合規和報表工具。在某些情況下可能要花費六倍于購買的費用來安裝和維護。然而,最大化地發揮SIM產品可能不再是一件奢侈的事情了。不僅是規章制度要求日志分析和報表工具,而且以極具價值的政府、制造業和金融為目標的針對性強、持續的攻擊可能為最大化SIM產品投資注入新的活力。
擴展安全信息管理系統能力用于實時安全分析
Robert Capps是在線票券交易平臺Stub Hub公司的信任和安全高級經理,他將公司的SIM產品與監控詐騙偵測功能的技術相融合。該詐騙偵測技術來自于Silver Tail Systems公司,其對比正常的流量基線來尋找用戶與站點進行交互時產生的異常現象。他例舉了SIM產品和其它網絡安全設備無法找出攻擊者濫用Stub Hub公司提供的合法服務。例如入侵防御系統(IPS)只能看到合法的網絡流量,盡管SIM產品記錄了攻擊者為了詐騙創建的合法帳戶,并成功登錄。
Capps說他認為除了沒有足夠的數據支持以外,IPS、SIM和其它分析工具無法有效地分析安全事件。通過采用實時分析的方法,他表示能夠辨識問題并且改進公司的安全響應而無需改變用戶體驗。
“如果有人試圖攻擊防火墻時IPS是不錯的,但它不擅長于辨識那些從正常流量混進來的壞演員,特別是如果他們像每個人一樣使用Web應用”,Capps談到。“我寧愿有一個工具能說,‘這個看起來很奇怪并且不符合我的業務流’。這才是我需要辨識零日攻擊的方向”。
業界領先的SIM廠商如Arc Sight(HP)公司、Sensage和Q1Labs(IBM)公司正在討論擴展他們產品在業務分析和數據中心方向的能力,以便提供大數據分析,特別是引入實時分析。安全分析師實質上承擔著的大量數據不僅來自于網絡安全設備,還有操作系統、應用、甚至是用戶行為。Sensage公司的總裁兼CEO Joe Gottlieb表示他們公司的工具已經讓組織可以從特殊來源提取安全數據到數據中心,后者對這些數據流的子集進行關聯規則運算。
“這些數據都是五分鐘以內的”,Gottlieb說到。“實時性實際上是來源和新鮮數據的混合物。總而言之,這個行業需要控制對實時性的期望值。深度數據包檢測技術為預防措施技術設置了基調,并且人們期望從SIM產品具有同樣級別的情境意識,但事實上是不容易做到的。”
數據過載威脅到SIM產品的實時安全分析能力
明顯的是,隨著監控和報告技術越來越靠近實時分析,以及涉及到更多的數據來源,查詢和處理事件以及維護閾值的復雜性也在不斷增長。“如果過于雄心勃勃,可能會回到原點。公司都想進行實時分析,但是這需要平衡你的實際環境、以及對于你來說實時分析意味著什么,還有你想如何管理風險”,HP Arc Sight公司的全球安全產品和解決方案市場總監Michael Callahan表示。
Arc Sight公司也在通過提高其SIM產品的分析和關聯能力,朝著實時分析前進。Callahan表示客戶們想要加強性能和擴展性——即對更多來源數據的更快地分析和關聯能力,以及展現安全事件背景,和發生在IT中的事件的能力。
“下一步是擴展它到整個組織中去,這可以讓你有機會看待組織整體風險”,Callahan談到。專家們勸誡企業需要縮減實時分析的范圍,理解他們的環境,和攻擊對IT基礎設施中的各個組件來說意味著什么。
“每個安全團隊都淹沒在數據中,另外一個與實時分析的問題是它數據以太多,以至于造成數據過載的情況”,Red Seal Networks公司的CEO Mike Lloyd說到。“企業已經淹沒在太多的數據中,而部署產生更多數據的傳感器不是前進的康莊大道。這使得人力投入隨著數據水漲船高,以至于我們能采取的行動是艱難的,并且會導致另外一個實時性問題”。
Red Seal公司的產品承諾通過映射安全產品間的交互,突出可能存在的脆弱的訪問點,持續地提供對IT基礎設施的可視性。Lloyd表示公司應該避免以預防或是取證能力為代價,對任何安全領域的過度投入、例如分析技術。
“這是企業犯的一個巨大的錯誤”,Lloyd說。“你無法了解更高層次上的每一件事件”。Security Curve咨詢公司的Kelley表示SIM產品需要為他們遭受攻擊的客戶提供更佳的規則集和智能。“SIM在取證分析和將事件拼接在一起十分強大,”Kelley表示。“并且它擅長于以近乎實時的方式對簡單、不太復雜的問題發出告警。”
