真正地了解安全管理和“大数据”

关于安全分析方面的“大数据”的路线图

要点

本书检查： 

安全管理环境不断提高的复杂性，从 IT 环境面临的威胁到法规遵从性命令 

如何从已收集的数据中获得更多意义，具体方法是“抽干大海中的水”，而不是“从大海中捞针” 

需要将基础架构、分析工具和威胁智能结合，以推动大数据实现业务价值

成为安全专家，是一段令人激动又异常艰苦的时光。安全威胁变得更具侵略性和贪婪性；和行业部门关于法规遵从性的规定越来越多；再加上复杂性呈指数级增长的 IT 环境，安全管理变得越来越具挑战性。此外，全新的“大数据”技术旨在使安全专家更方便地使用高级分析技术，例如预测性分析和高级统计技术。

考虑到当今安全系统的状态，在使用这些类型的高级技术进行安全管理方面，大多数组织仍有很长的路要走。安全专家需要从已经收集和分析的数据中获得更多价值，他们还需要更好地理解当前与数据相关的问题和即将发生的难题。从一组基本的数据管理和分析能力开始，使组织能够有效地构建安全管理和随着企业的发展而不断扩展，从而解决大数据难题。

当今的安全局势不容采取临时安全措施

处理“大数据”时，关于 IT 和业务的数据的数量和类型极多，难以用临时方式来处理。此外，保护收集到的数据中有意义的信息，变得越来越困难。

尽管大多数组织对信息安全进行了大量投资，攻击者看起来仍略胜一筹。根据 Verizon 数据违规调查报告 (2012) 指出，91% 的违规都会导致数据在几天甚至更短的时间内受损，而 79% 的违规需要几个星期甚至更长时间才会被发现。 有多个因素可以说明此问题： 

攻击者变得更加有组织，并且资金更雄厚。在攻击变得更加动态的同时，防御却保持静态。当今的攻击旨在利用我们以用户为中心、高度互联的基础架构的弱点。 

支持 IT 的组织继续成长，变得更加复杂。组织现在需要更加开放且敏捷的系统，从而为协作、通信和创新创造更多的新机会。而这也造成了一些新的漏洞，计算机罪犯、黑客行动主义者团体和民族主义者早已学会了如何利用这些漏洞。 

法规遵从性变得更加影响深远。监管机构和立法机构的规定越来越多。各大公司（尤其是拥有多条业务线或国际运营的公司）越来越难以跟踪当前已有的控制、需要的控制以及如何确保控制措施受到适当地管理。

这些因素在 IT 环境同作用，使得安全管理变得更加复杂，并且各方面互相依赖关系更高，责任范围更大。随着更多业务流程变为数字化，在收集和管理更多数据方面，安全团队所面临的既有机会也有挑战。组织对日志管理、漏洞管理、身份管理和配置管理工具投入越来越多的资金，但是，违规事故依然继续发生，并导致比以往更多的损失和费用。

图 1. 安全管理中的大数据的重点内容

安全管理中的大数据的三个基本概念

用于安全管理的真正的“大数据”策略必须涵盖所有三个方面（即基础架构、分析工具和智能），才能适当地解决当前面临的问题。

要从收集的数据中提取价值、提高威胁管理活动的效率以及使用法规遵从性活动来推动决策 制定，安全团队需要使用“大数据”方法来进行安全管理。这意味着： 

采用敏捷的“横向扩展”基础架构来响应不断变化的 IT 环境和不断发展的威胁。安全管理需要支持影响 IT 的新业务计划，从新的应用程序到新的交付模式，例如移动性、虚拟化、云计算和外包。安全管理基础架构必须能够在企业层面上收集和管理安全数据，并进行扩展以满足当今的企业级需求（包括物理要求和经济要求）。这意味着进行“横向扩展”而非“纵向扩展”，因为将所有这些数据集中化在实际情况中是不可能的。此外，该基础架构还需要能够轻松扩展以适应新的环境，并时刻准备好发展和完善以支持对不断演变的威胁进行分析。 

拥有支持安全分析特性的分析和可视化工具。安全专家需要专业的分析工具来支持其工作。有的分析师需要工具来协助自己找出具备某些支持详细信息的基本事件。经理们可能只需要关键指标的高级可视化图形和趋势图。恶意内容分析师需要重建可疑的文件和工具，以便自动执行这些文件的测试。网络取证分析师需要全面重建关于某个会话的所有日志和网络信息，以便精确地确定发生的情况。 

拥有威胁智能以便对收集的信息应用数据分析技术。组织需要了解当前的外部威胁环境，以便将这些威胁与从组织内部收集到的信息进行关联。这种关联工作对于分析师至关重要，可帮助他们清楚地理解当前的威胁指示因素和他们需要寻找的信息。

“大数据”并不简单地等同于“大量数据”。它需要大量更加智能的分析，以便尽早发现安全威胁，并使用基础架构来大规模收集和处理数据。

“大数据”推动高效的安全

用于“大数据”的成功的安全管理需要配备能够以最快速有效的方式提取和提供关键数据以进行分析的系统。

图 2. 安全管理大数据系统的要求

当今的安全组织需要采用“大数据”方法，包括了解对手、确定支持决策所需的数据，以及构建一种模式来支持这些活动并将该模式投入运营。当在此语境中谈到“大数据”时，指的是构建一个基础以进行有用的分析，而非轻率地投入到高级数据科学项目中。适用于安全组织的成功的“大数据”系统需要： 

消除例行响应或评估活动中繁琐的手动任务。该系统需要减少与调查问题相关的手动重复性任务的数量，例如在多个控制台间切换以及使用五种不同的工具来执行同样的搜索。虽然这些任务不会在一夜之间消除，但该系统应当不断地减少处理每一起事件时的步骤数量 

使用业务背景向分析师指出影响最大的问题。安全团队需要能够将他们监视和管理的系统映射回他们支持的关键应用程序和业务流程中。他们需要理解这些系统与第三方（例如服务提供商）之间的依赖关系，并从漏洞和法规遵从性的角度来理解环境的当前状态。 

仅向分析师提供最相关的数据。安全专家经常提到“减少误报”。在现实中，问题通常是比真与假更加微妙的问题。因此，系统需要消除误报，并提供指示说明以供分析师处理影响最大的问题。该系统还需要提供支持数据，突出强调可能的最大问题是什么及其原因。 

补充人类知识。该系统可帮助分析师将时间用于分析最关键的问题。这包括提供内置技术以便找出优先级最高的问题，并提供当前威胁智能，从而利用这些技术确定攻击者社区中使用的最新工具、技术和程序。 

要“远瞩”。抵御现代威胁就是与时间赛跑。该系统需要提供早期警告，并最终提供一种预测模型，从而将外部威胁智能与内部情状感知相匹配，以便使安全团队从被动防御转变为主动防御和预防。

安全分析：针对“大数据”的分阶段方法

虽然预测性分析和统计推理等高级技术在将来很有可能被证明是重要的技术，但对于安全团队来讲，重要的是从关注基本技术开始，采用分阶段的方法。 

从实施能够与您一同发展的安全数据基础架构开始。这包括实施一个体系结构，它不仅可以收集关于日志、网络会话、漏洞、配置和身份的详细信息，还能收集关于系统做了什么以及它们如何工作的人工智能信息。虽然您可以从小系统开始，但该系统需要基于强大的分布式体系结构，以确保它能够随着您的要求的发展进行扩展。该系统必须支持信任的逻辑域，包括法律辖区以及针对不同业务部门或项目的数据。该系统需要能够快速轻松地处理这些数据并以此为中心（例如显示来自给定 IP 地址的所有日志、网络会话和扫描结果及其与生产财务系统的通信）。 

部署基本的分析工具以自动执行重复性人工交互。近期目标通常是创建一个模型，将信息以可视方式进行关联，减少人工将所有这些信息收集到一个视图中所需的步骤数（例如，显示涉及以下系统的所有日志和网络会话：支持信用卡事务处理的系统，以及易受到业务其他部分发生过的攻击损害的系统）。 

创建支持重要安全功能的可视化和输出。一些分析师将仅需要查看最可疑的事件及一些支持详细信息。恶意内容分析师将需要排定优先级的可疑文件清单以及它们之所以可疑的原因。网络取证分析师将需要复杂查询的详细结果。其他人将需要审核计划的法规遵从性报告，或用于查看趋势或系统中有待改进的领域的常规报告。该系统还需要是开放的，以便支持其他系统访问数据并利用这些数据来针对攻击者采取行动，例如将其隔离或对他们正在做些什么进行监视。

图 3. 在安全管理中实施大数据的步骤



添加更多其他的智能分析方法。仅当此时方可对数据应用更加复杂的分析以支持这些角色。这些分析可能包括多种分析技术的组合，例如定义的规则以确定可能的不良行为/已知的良好行为。它还可能合并更加高级的行为概括和基线技术，可部署更加高级的统计技术，例如贝叶斯推理或预测性建模。这些分析技术可结合使用，以创建“影响力模型”，即一个模型结合不同的指标来对系统找出的问题进行“评分”，以便将分析师引导至需要最紧急关注的领域。 

不断地改进这一模型。当系统上线并运行后，需要持续地进行调整，以便响应不断变化的威胁载体和对组织的更改。该系统需要能够调整有误差的规则，以及调整模型以消除 误报、使用来自于组织内部和外部的更多数据，并采用自我学习功能来提高系统的整体 成功。

该系统需要能够发展和扩展，以响应随着新的 IT 服务和应用程序上线而产生的对 IT 环境的更改，从而形成不断发展和改进的循环。在每一点上，该系统都需要利用外部智能信息作为模型的输入。

这意味着该系统需要采用：自动化的方式来使用来自于威胁智能源的外部供给；结构化的信息，包括黑名单、规则或查询；非结构化的智能信息，包括 pastebins、Twitter 供给或 IRC 聊天；以及来自于内部消息面板的智能信息或内部呼叫或会议的说明。该系统还必须能够促进围绕着知识共享而进行的协作。该系统应当能够共享查询结果或非结构化的智能信息，无论是以公开方式、利用利益各方共同信任的社区的受控方式，还是按照“需要了解”的原则。

基础性的基础架构为更加复杂的技术铺平道路

通过将重点放在首先创建可扩展的体系结构和部署可消除无意义的额外任务的工具，安全团队将极大地提高在安全领域成功实施“大数据”的可能性。这可带来“快速的成功”、提供坚实的平台，以及将员工出来以集中精力部署和管理更加复杂的分析工具。如果恰当地实施，这可以： 

提高安全分析师的效率。分析师每次轮班能够处理的问题数量可以从少数几个增加到十几个甚至更多。 

减少攻击者自由时间，并由此降低威胁对业务的影响。分析师将能够更加自动地提取最有可能导致问题的问题，并在它们对业务产生负面影响之前将其解决。

若没有这一基础或清楚、具体的目标，大数据计划很容易会深陷困境且无法带来任何预期的 收益。

RSA 安全管理：用于基础架构、分析和智能的坚实基础

RSA 安全管理产品组合为客户提供： 

全面的基础架构可视性。RSA 提供经验证的基础架构，使用户能够大规模地收集来自所有数据源的所有类型的安全数据。这使分析师能够从单个位置查看从网络或关键系统直接收集的关于高级威胁和用户活动的数据。RSA 的基础架构还提供统一的体系结构，用于实时分析以及近期和历史记录查询。这提供了一种综合性的方法来进行实时警报、调查性分析、指标和趋势分析以及历史记录保留和归档。 

敏捷的分析。RSA 平台为分析师提供多种工具来快速执行调查，包括对提供的调查快速进行分析的直观工具，并具有详细的展开信息以及业务背景的集成，以便做出更明智的决策。RSA 的方法能够通过免签名的分析，锁定最可疑的用户和连接到基础架构的终端， 以及恶意活动的征兆。全面的会话复原使用户能够重建和重放究竟发生了什么。

 可操作的智能。RSA 提供的威胁智能信息通过合并当前威胁信息的供给，帮助安全分析师发挥 RSA 产品的最大作用。RSA 的威胁研究团队提供来自于安全专家社区的专有智能，并通过规则、报告、解析器和监视列表将其自动构建到我们的工具中。这使得分析师能够利用从企业中收集的数据深入了解威胁，并通过合并来自业务的信息（这些信息显示涉及的系统与它们支持的业务功能之间的关系）来排定响应操作的优先级。

 优化的事故管理。RSA 产品通过提供工作流系统来定义和激活响应流程，再加上提供工具来跟踪当前未解决的问题、趋势以及积累的经验，来帮助安全团队简化与准备工作和响应相关的各种活动。行业领先的服务可帮助针对事故进行准备、检测和响应。该平台与 RSA 产品组合和第三方工具集成，以便与发现和处理事故以及简化法规遵从性管理所需的各种工具交换信息。

联系我们

如欲详细了解 EMC 产品、服务和解决方案如何帮助您解决业务和 IT 难题，请与当地代表或授权经销商联系，或者访问我们的网站 http://china.emc.com/rsa。

EMC2、EMC、EMC 徽标、[按字母顺序添加其他应用程序产品商标] 是 EMC Corporation 在美国和其他国家/地区的注册商标或商标。VMware [如有需要，按照上述方式进行添加] 是 VMware, Inc. 在美国和其他司法辖区的注册商标或商标。© 版权所有 2012 EMC Corporation。保留所有权利。中国印刷。0812 解决方案概述 HSMCBD0812

EMC 确信本出版物在发布之日内容准确无误。该信息如有更改，恕不另行通知。