互聯(lián)網(wǎng)上的安全風(fēng)險(xiǎn)越來(lái)越多，種類(lèi)也越來(lái)越繁雜，現(xiàn)在每周新發(fā)現(xiàn)46,9000個(gè)惡意軟件樣本，它們大多目標(biāo)明確，采用秘密的方式竊取機(jī)密數(shù)據(jù)，而且其自身還在不斷演進(jìn)。據(jù)統(tǒng)計(jì)，有83%的企業(yè)遭受過(guò)高級(jí)持續(xù)性威脅的攻擊，而且到2015年通過(guò)網(wǎng)絡(luò)進(jìn)行通信的設(shè)備將達(dá)150億。大數(shù)據(jù)時(shí)代安全架構(gòu)在變得愈發(fā)復(fù)雜，安全需求也在持續(xù)增加，需要各種新興技術(shù)應(yīng)對(duì)新型風(fēng)險(xiǎn)和威脅。但這勢(shì)必增加企業(yè)管理的復(fù)雜度，投資的復(fù)雜度并造成技術(shù)成本壓力。此時(shí)需要采取深度防御策略，并通過(guò)安全互聯(lián)的方式實(shí)現(xiàn)全面整體的安全防御，實(shí)時(shí)獲取安全信息，對(duì)其進(jìn)行關(guān)聯(lián)性分析，更快、更早的發(fā)現(xiàn)安全威脅。

       新安全威脅下需要下一代SIEM

       SIEM，Security Information and Event Management，安全信息與事件管理。SIEM可以為來(lái)自企業(yè)和組織中所有IT資源（包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用）產(chǎn)生的安全信息（包括日志、告警等）進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析，對(duì)來(lái)自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告，實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo)，同時(shí)提升企業(yè)和組織的安全運(yùn)營(yíng)、威脅管理和應(yīng)急響應(yīng)能力。

       以往企業(yè)每天所產(chǎn)生的安全數(shù)據(jù)量還不是很多，而今企業(yè)每天都在產(chǎn)生大量的安全數(shù)據(jù)，而且有更多狡猾的安全威脅隱藏在這些數(shù)據(jù)背后，這就需要下一代SIEM能夠有更高、更強(qiáng)的性能去應(yīng)對(duì)大數(shù)據(jù)，SIEM要能夠?qū)Υ髷?shù)據(jù)進(jìn)行更具深度和廣度的挖掘，進(jìn)而發(fā)現(xiàn)潛藏安全威脅的蛛絲馬跡。

       傳統(tǒng)SIEM并不是為大數(shù)據(jù)時(shí)代的安全所設(shè)計(jì)，其或者采用扁平化的數(shù)據(jù)存儲(chǔ)方式，或者采用關(guān)系型數(shù)據(jù)庫(kù)。以扁平化的方式存儲(chǔ)數(shù)據(jù)，讀寫(xiě)速度快，但索引能力很差，在進(jìn)行查詢(xún)或者分析操作時(shí)效率低下。關(guān)系型數(shù)據(jù)庫(kù)建立了很好的索引，極大提高了查詢(xún)性能，但其讀寫(xiě)速度卻很差?！拔覀兠棵腌娍吹降氖录菐资f(wàn)的級(jí)別，傳統(tǒng)的SIEM可能只能應(yīng)對(duì)幾萬(wàn)的數(shù)據(jù)”， 邁克菲資深信息安全專(zhuān)家程智力認(rèn)為傳統(tǒng)型的SIEM僅做了事件搜集的工作，而沒(méi)有對(duì)數(shù)據(jù)進(jìn)行深度挖掘，無(wú)法識(shí)別上下文之間的信息以及數(shù)據(jù)背后的信息。

       程智力, 邁克菲資深信息安全專(zhuān)家

       大數(shù)據(jù)時(shí)代需要新型的SIEM，“要有非常好的專(zhuān)屬數(shù)據(jù)庫(kù)，既能夠很快的讀寫(xiě)數(shù)據(jù)，也能夠?qū)崿F(xiàn)快速的查詢(xún)工作”。下一代SIEM還要能夠識(shí)別更多上下文信息和數(shù)據(jù)背景，實(shí)現(xiàn)基于應(yīng)用程序的識(shí)別?！爸朗录澈蟛僮鞯挠脩?hù)是誰(shuí)，其物理位置在哪里，用戶(hù)所使用的應(yīng)用程序是什么，應(yīng)用程序打開(kāi)了哪個(gè)文檔，文檔里有哪些內(nèi)容，我們要識(shí)別出應(yīng)用程序里面的內(nèi)容。”要識(shí)別應(yīng)用，識(shí)別應(yīng)用才能做到更深入的分析和安全呈現(xiàn)。下一代SIEM由于能對(duì)安全體系內(nèi)的所有事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)分析，所以當(dāng)APT攻擊剛剛開(kāi)始試探系統(tǒng)漏洞與弱點(diǎn)時(shí)，就能夠被及時(shí)發(fā)現(xiàn)，阻斷APT對(duì)系統(tǒng)的進(jìn)一步威脅。而且，邁克菲的下一代SIEM借助其全球安全數(shù)據(jù)庫(kù)，能夠快速識(shí)別攻擊來(lái)源，從根本上攔截APT攻擊。

       大數(shù)據(jù)時(shí)代下選擇SIEM
   
       哪些企業(yè)需要SIEM，企業(yè)什么時(shí)候需要SIEM？程智力表示，沒(méi)有不需要SIEM的企業(yè)，只是看企業(yè)是否到了需要SIEM的時(shí)候。當(dāng)企業(yè)還在進(jìn)行基礎(chǔ)IT建設(shè)時(shí)，還不需要SIEM產(chǎn)品。而當(dāng)其進(jìn)行與大數(shù)據(jù)相關(guān)的業(yè)務(wù)時(shí)，就要考慮選擇SIEM了。當(dāng)企業(yè)要進(jìn)行更深入的數(shù)據(jù)挖掘、進(jìn)行應(yīng)用的數(shù)據(jù)挖掘時(shí)就需要借助SIEM來(lái)實(shí)現(xiàn)其需求。

       專(zhuān)業(yè)的安全管理人員有利于SIEM的順暢運(yùn)行。搜集數(shù)據(jù)僅僅是SIEM的基礎(chǔ)功能，還需要對(duì)這些數(shù)據(jù)進(jìn)行深入的挖掘分析，而這就需要具有專(zhuān)業(yè)的安全知識(shí)。在SIEM上線(xiàn)的初期，需要專(zhuān)業(yè)人員的指導(dǎo)，幫助進(jìn)行安全評(píng)估、策略設(shè)定等等。SIEM主要提供發(fā)現(xiàn)問(wèn)題的數(shù)據(jù)信息、解決問(wèn)題的意見(jiàn)信息，具體執(zhí)行還需要由專(zhuān)業(yè)安全人員進(jìn)行，企業(yè)需要根據(jù)SIEM架構(gòu)配置好合理的安全管理人員。

       用戶(hù)如果希望將其傳統(tǒng)SIEM產(chǎn)品升級(jí)成邁克菲的下一代SIEM產(chǎn)品，那么無(wú)需擔(dān)心數(shù)據(jù)遷移問(wèn)題，邁克菲會(huì)幫助其對(duì)傳統(tǒng)數(shù)據(jù)進(jìn)行重新格式化以及數(shù)據(jù)分析。而且這些服務(wù)都是免費(fèi)進(jìn)行的。

       2013年被認(rèn)為是企業(yè)大規(guī)模采用大數(shù)據(jù)技術(shù)的一年，卻也是“網(wǎng)絡(luò)安全漏洞之年”。安全是大數(shù)據(jù)價(jià)值實(shí)現(xiàn)的根本，安全信息與事件管理（SIEM）作為智能安全系統(tǒng)中非常重要的領(lǐng)域，隨著大數(shù)據(jù)應(yīng)用的逐步深入將迎來(lái)更多的發(fā)展機(jī)遇。