大数据作为存储、服务器领域的热词,如今蔓延到了安全领域。惠普、RSA、迈克菲、瞻博网络等厂商最近均发布新品,强调对安全的情景感知能力,这离不开基于对大数据的分析。
先来讲一个案例,大家应该对前不久流传的“美国工程师用1/5薪水将工作外包给中国公司”的新闻记忆犹新,众人都对“一美国员工能养活一中国团队”津津乐道。那你知道这位美国工程师的行为是如何被发现的吗?惠普企业安全产品部北亚区总经理姚翔在接受ZDNet采访时介绍说,这是因为公司安全系统发现了一个很有意思的现象。每天在美国时间的晚上,来自中国的IP就发生多次系统登录,收邮件、拿资料、上传数据,最终被认为这是一个安全威胁。
惠普公司企业安全产品部北亚区总经理姚翔
虽然这名美国工程师将自己的密钥快递到中国,而且公司也允许员工在出差期间进行内网访问。但通过关联分析发现这样的事情发生频度过高,而且从中找出规律都是在晚上。姚翔表示,所谓的事件关联是将登陆信息和VPN两个部分匹配发现很多不正常的内容。当然新闻中并没有报道美国公司有任何损失,大数据可以做到防患于未然,这是惠普ArcSight的功劳。
HP ArcSight Express 4.0用到了最新的CORR-Engine,而不用传统的Oracle关系型数据库,这使查询速度提高几十倍。
姚翔指出,惠普将ArcSight的安全信息与事件管理(SIEM)功能与HP Autonomy IDOL内容分析引擎进行了整合,从而能自动识别用户与各类数据进行交互的环境、概念、情绪和使用模式。
Autonomy软件是惠普在2年前斥资110亿美元收购,Autonomy的精髓在于其提取非结构化数据核心概念的能力。姚翔表示,通过ArcSight和Autonomy的集成,这一全新解决方案通过解读原始安全数据的含义从而扩大了企业安全监视功能的覆盖范围。通过对与数据相关的人力情绪(如行为模式等)进行跟踪和分析,企业能够更迅速地识别之前被忽视的威胁。
姚翔举了一个例子,企业可以根据一个人的情感判断安全威胁的指数,而判断一个人的情感是根据他在社交媒体、电子邮件、文件传输等过程中的行为,Autonomy甚至可以知道图片中的内容,它对非结构化数据的挖掘能力可见一斑。
ArcSight 和 Autonomy/Hadoop 集成
而且,HP Autonomy能帮助企业通过数据了解内部及外部的互动行为,而全新的惠普ArcSight云事件收集器框架(HP ArcSight Cloud Connector Framework)则能帮助企业轻松收集云服务供应商的应用事件和日志数据。云事件收集器框架基于行业标准协议,能够提供统一、实时的视图,以便企业了解用户活动,并为内部和云应用监视威胁。
这在惠普称之为云CEF计划,姚翔告诉记者,如今大量客户把CRM等信息系统放到云里面,但却又不在自己的管控之内。惠普提出了面向SaaS监视的行业标准框架,从而将法规遵从报告扩展至云应用,企业可以得到针对云应用的实时用户活动和威胁监测,和跨本地和远程应用的统一活动视图。姚翔表示,目前可以为Box、Google、Salesforce提供服务,将来还会拓展到更多的云服务供应商,希望更多云服务提供商都会提供CEF的标准回送到企业监控的系统中。
并且,全新的HP ArcSight/Hadoop Integration Utility为即插即用型平台,可将HP ArcSight 6.0c与Apache Hadoop 进行无缝集成。两种技术的结合可加速挖掘大数据存储的流程,从而提供一个更完整的事件视图,并更快识别安全攻击趋势。
姚翔指出,该解决方案将HP ArcSight的报告、搜索和关联功能与Hadoop大型、集中存储库进行结合,为企业提供处理PB级信息存储容量。开源的机器学习算法、统计分析、异常检查和预测分析均可用于存储的数据,以便更好地洞察并解决安全事件。
姚翔强调,惠普的安全战略关注三大领域的解决方案。一是加固受攻击面,二是加强风险管理,三是主动保护信息。惠普提供了领先的产品和技术全面护航,这包括Fortify、Tipping Point、Atalla、ArcSight、DVLabs、Atalla等。而在企业安全业务面临的问题,诸如数据泄露事件增减、耗费时间、攻击新技术和大数据等挑战时,惠普都拥有满足客户安全需求的卓越产品组合,并让解决方案更具主动性和整合性。