大数据正在面临着信息安全问题。这种情况驱使安全经理带着批判的眼光看待现有的技术投资,特别是像安全信息管理系统(SIM)这样的数据采集点,以便判断它们是否能有助于实时安全分析事件数据。
企业需要尽可能实时知道在网络中发生了什么事情。然而专家们一致认为在当前时刻实时分析不太可能,特别是对于SIM产品来说。对于“实时分析”真正意味着什么、SIM产品和其它分析技术能做什么、以及要实时观察并对安全事件做出响应需要的资源这些问题,安全团队应该调整他们的期望值。
“这有些雄心勃勃,特别是对于SIM产品来说。因为事件必须恰好被记录下来,发到SIM产品或者日志管理产品的归并组件、然后通过规则引擎运行”,位于新罕布什尔州的Security Curve咨询公司的创建人Diana Kelley谈到。“所有这一切要花费时间,并且它不是实时的。你不是像IPS或是下一代防火墙那样观察在线流量。比起事件通过日志管理系统、解析数据、然后被发到运行关联规则的SIM来说,那更加接近于实时”。
对于SIM产品来说可操作的信息一直是遥远美丽而又很难实现的美景,找到有价值的信息通常让步于令人困扰的规则编写和集成练习。SIM产品的规则编写可能是艰辛的任务,因为像所有基于签名技术的防御措施一样、安全团队需要明白他们寻找什么以便建立正确的告警阈值。
“如果阈值设置太高的话,你无法足够迅速地收到告警,”Kelley谈到。“如果设置太低的话,SIM产品的告警数量会把你击垮。弄清楚这些阈值设置为多少使得编写规则是如此错综复杂。日志管理产品或是SIM产品用于取证分析可能更佳——这就像大海捞针。但如果你不知道从哪里开始,那就真成问题了。”
最终的结果经常是人们对产品感到灰心,有时候公司以关闭产品的分析功能告终,只留下合规和报表工具。在某些情况下可能要花费六倍于购买的费用来安装和维护。然而,最大化地发挥SIM产品可能不再是一件奢侈的事情了。不仅是规章制度要求日志分析和报表工具,而且以极具价值的政府、制造业和金融为目标的针对性强、持续的攻击可能为最大化SIM产品投资注入新的活力。
扩展安全信息管理系统能力用于实时安全分析
Robert Capps是在线票券交易平台Stub Hub公司的信任和安全高级经理,他将公司的SIM产品与监控诈骗侦测功能的技术相融合。该诈骗侦测技术来自于Silver Tail Systems公司,其对比正常的流量基线来寻找用户与站点进行交互时产生的异常现象。他例举了SIM产品和其它网络安全设备无法找出攻击者滥用Stub Hub公司提供的合法服务。例如入侵防御系统(IPS)只能看到合法的网络流量,尽管SIM产品记录了攻击者为了诈骗创建的合法帐户,并成功登录。
Capps说他认为除了没有足够的数据支持以外,IPS、SIM和其它分析工具无法有效地分析安全事件。通过采用实时分析的方法,他表示能够辨识问题并且改进公司的安全响应而无需改变用户体验。
“如果有人试图攻击防火墙时IPS是不错的,但它不擅长于辨识那些从正常流量混进来的坏演员,特别是如果他们像每个人一样使用Web应用”,Capps谈到。“我宁愿有一个工具能说,‘这个看起来很奇怪并且不符合我的业务流’。这才是我需要辨识零日攻击的方向”。
业界领先的SIM厂商如Arc Sight(HP)公司、Sensage和Q1Labs(IBM)公司正在讨论扩展他们产品在业务分析和数据中心方向的能力,以便提供大数据分析,特别是引入实时分析。安全分析师实质上承担着的大量数据不仅来自于网络安全设备,还有操作系统、应用、甚至是用户行为。Sensage公司的总裁兼CEO Joe Gottlieb表示他们公司的工具已经让组织可以从特殊来源提取安全数据到数据中心,后者对这些数据流的子集进行关联规则运算。
“这些数据都是五分钟以内的”,Gottlieb说到。“实时性实际上是来源和新鲜数据的混合物。总而言之,这个行业需要控制对实时性的期望值。深度数据包检测技术为预防措施技术设置了基调,并且人们期望从SIM产品具有同样级别的情境意识,但事实上是不容易做到的。”
数据过载威胁到SIM产品的实时安全分析能力
明显的是,随着监控和报告技术越来越靠近实时分析,以及涉及到更多的数据来源,查询和处理事件以及维护阈值的复杂性也在不断增长。“如果过于雄心勃勃,可能会回到原点。公司都想进行实时分析,但是这需要平衡你的实际环境、以及对于你来说实时分析意味着什么,还有你想如何管理风险”,HP Arc Sight公司的全球安全产品和解决方案市场总监Michael Callahan表示。
Arc Sight公司也在通过提高其SIM产品的分析和关联能力,朝着实时分析前进。Callahan表示客户们想要加强性能和扩展性——即对更多来源数据的更快地分析和关联能力,以及展现安全事件背景,和发生在IT中的事件的能力。
“下一步是扩展它到整个组织中去,这可以让你有机会看待组织整体风险”,Callahan谈到。专家们劝诫企业需要缩减实时分析的范围,理解他们的环境,和攻击对IT基础设施中的各个组件来说意味着什么。
“每个安全团队都淹没在数据中,另外一个与实时分析的问题是它数据以太多,以至于造成数据过载的情况”,Red Seal Networks公司的CEO Mike Lloyd说到。“企业已经淹没在太多的数据中,而部署产生更多数据的传感器不是前进的康庄大道。这使得人力投入随着数据水涨船高,以至于我们能采取的行动是艰难的,并且会导致另外一个实时性问题”。
Red Seal公司的产品承诺通过映射安全产品间的交互,突出可能存在的脆弱的访问点,持续地提供对IT基础设施的可视性。Lloyd表示公司应该避免以预防或是取证能力为代价,对任何安全领域的过度投入、例如分析技术。
“这是企业犯的一个巨大的错误”,Lloyd说。“你无法了解更高层次上的每一件事件”。Security Curve咨询公司的Kelley表示SIM产品需要为他们遭受攻击的客户提供更佳的规则集和智能。“SIM在取证分析和将事件拼接在一起十分强大,”Kelley表示。“并且它擅长于以近乎实时的方式对简单、不太复杂的问题发出告警。”