对于企业来说,快速检测数据威胁的能力对于防止数据丢失至关重要,然而只有35%的企业表示他们有能力做到这一点。罪魁祸首是谁?是虚拟化的数据源构成的一个不断升级的阵列?是随时随地的工作习惯?还是终端设备和应用程序的爆炸性增长?总之,世界各地的组织机构发现他们自己没有驾驭大数据安全的能力。
在安全行业意识到用大数据来分析复杂、类型多样的输入性数据的有效性并寻求一种方式,使其能解决现在的安全的这个问题上,是一个时间的问题罢了。如今,很少能够听到哪个新的安全产品没有提到大数据的。安全产品的供应商预言大数据可以获得安全信息,事件管理并能满足企业的需求,那就需要把来势汹涌的大量数据和新的信息来源进行分析。
大数据安全时代的挑战
在一项调查中,超过五分之一的被调查者说他们需要一天的时间来识别一个数据威胁,而5%的企业甚至表示这个过程需要花费一周的时间。平均而言,企业识别一个安全威胁的时间达10个小时。几乎没有公司能够对‘你是否正遭受威胁?’ 这样一个简单的问题立刻给出回答。更不用说,‘你能阻止威胁发生吗?’。
为了在数量巨大,速率更快,种类繁多的信息涌入时代能够获取及时的威胁情报,企业必须分析、存储和管理这些大的安全数据。不得不说,这些不断增长的大量事件,以及资产,威胁,用户和相关数据已经创建了一个挑战安全团队的大数据。
在讨论大数据时没有提到大数据的V(volume, velocity and variety)是不完整的。Volume指的是许多兆兆字节甚至千万亿字节的信息需要处理。Velocity指的是每秒中能够接收的大量数据的能力。最后,Variety涉及到不同的来源和被送入到大数据系统中的传统和非传统的数据类型,内容来自社交网站和第三方的威胁情报服务的大数据没有陷于系统日志和数据交换格式这样的老标准之中。
这三个V在大数据的不同定义中是相对标准的,但是一些定义也包括第四个V:真实性或者可信赖性的数据。对于大多数的数据类型,这是一个无关紧要的属性,但是对于包含在大数据分析中的各种数据,真实性绝对是应该考虑的事情,这些取决于数据源。例如,从来自内部路由器记录的数据交换方式将比博客评论,Facebook状态更新或发布在Twitter的状态有一个更高的准确度的得分。困难在于,和其他的资源比较如何衡量这些资源的重要性,然后再提供上下文进行分析。
大数据需实时智能保护
无论是移动设备、云或是社交媒体平台,现在数据可以产生于任何地方,并每天生成海量的数据。IBM认为,这使得企业不得不放弃数据安全领域传统的单一边界,转而采用多边界、全方位的方法来维护信息安全,而这种方法也使安全智能应用更加贴近目标。
IBM的大数据安全智能系统提供了一种特殊的威胁和风险检测。这种检测技术把深度的安全专业知识和对大量的数据的分析见解结合起来。对于前瞻性的企业在安全风险问题上寻求更先进的洞察力,IBM的解决方案(包括IBM旗下的QRader的安全智能平台和IBM的大数据平台)提供了一个广泛性的,综合性的方法。
这种方法把对连续性洞察力的实时相关性、大量结构化和非结构化数据的自定义分析和在法院的能力范围内无法辩驳的证据结合起来。这种结合可以帮助解决高级持续性威胁、造假数据和内部攻击等问题。IBM通过扩大调查范围和规模而做出解决方案的目的是回答以前人们可能从来没有问过的问题,现在可以在多年的活动中分析更多种类的数据,比如DNS交换,电子邮件,文档,社交媒体数据,全包捕获数据和业务流程数据等。通过分析结构性的、强化的数据和来自整个企业的非结构性的数据,IBM的解决方案帮助发现了隐藏在一般企业数据背后的恶意活动。
另外,IBM推出推出针对Hadoop和其他大数据环境的深度安全智能解决方案,特别是InfoSphere Guardium解决方案,它现在能够为InfoSphere BigInsights 和Cloudera等基于Hadoop的系统提供实时监控和自动合规报告。依靠对数据资源的联合控制,企业将能够理解数据和应用的访问模式,防止数据泄露并实施数据改变控制。嵌入式的审核报表功能可以用于在计划的基础上生成合规报告,将报告发给监管团队进行电子签收和上报,并对纠正的动作进行记录。企业能够自动检测漏洞并在异构的基础架构中建议优先的修补行动。此外,IBM还提供数据屏蔽功能,当数据流入和留出大数据系统时识别敏感数据。
解决大数据时代的安全,这就好比你置身一场战斗,你必须做到先发制人,而不是后知后觉。随着安全趋势的改变,将大数据分析和安全合并可能是一个可喜的改变,像IBM提出的理念一样,智能、实时是应对新形势的关键词。