為了利用大數(shù)據(jù)來加強(qiáng)企業(yè)信息安全，我們需要部署哪些技術(shù)和流程？日志管理？SIEM部署？我們需要進(jìn)行什么樣的培訓(xùn)？保護(hù)數(shù)據(jù)中心需要怎么做？在本文中，筆者將提供現(xiàn)實(shí)的建議，讓企業(yè)信息安全團(tuán)隊(duì)知道他們必須部署什么樣的技術(shù)以及必須部署什么樣的流程以充分利用大數(shù)據(jù)。

什么是大數(shù)據(jù)？為什么它對(duì)信息安全意義重大？

就像電影《黑客帝國(guó)》中的感知機(jī)器人或者《終結(jié)者》電影中的Skynet一樣，現(xiàn)在的大數(shù)據(jù)環(huán)境由大規(guī)模并行處理數(shù)據(jù)庫(kù)產(chǎn)品（不過所幸的是，它們沒有自我感知能力）組成，這些產(chǎn)品通過處理PB級(jí)（1015）到ZB級(jí)（1021）看似不同的數(shù)據(jù)來創(chuàng)建趨勢(shì)和數(shù)據(jù)映射。通過建立這種宏觀層面的信息，大數(shù)據(jù)可以讓企業(yè)了解到他們的產(chǎn)品是如何以前所未有的經(jīng)濟(jì)理解水平在運(yùn)行。也就是說，通過以新方式來結(jié)合和分析海量數(shù)據(jù)，我們可以實(shí)現(xiàn)新的業(yè)務(wù)洞察力。

雖然大數(shù)據(jù)在商業(yè)世界有很多有價(jià)值的應(yīng)用，重要的是要記住，這些大數(shù)據(jù)信息對(duì)于企業(yè)信息安全團(tuán)隊(duì)同樣具有價(jià)值。那么，安全團(tuán)隊(duì)?wèi)?yīng)該怎樣利用大數(shù)據(jù)以加強(qiáng)企業(yè)安全—同時(shí)抵御內(nèi)部和外部威脅？

保護(hù)大數(shù)據(jù)：基礎(chǔ)設(shè)施準(zhǔn)備

首先，對(duì)于利用大數(shù)據(jù)系統(tǒng)來分析企業(yè)內(nèi)活動(dòng)的安全工具，企業(yè)安全團(tuán)隊(duì)必須了解傳統(tǒng)安全修復(fù)工具和它們之間的基礎(chǔ)設(shè)施差異。在現(xiàn)在的企業(yè)安全辦公室，我們并不難找到報(bào)告不同類型安全數(shù)據(jù)（試圖查找問題的安全分析師會(huì)對(duì)這些數(shù)據(jù)感興趣）的各種安全工具，日志記錄工具、安全監(jiān)控工具、外圍安全設(shè)備、應(yīng)用程序訪問控制設(shè)備、配置系統(tǒng)、供應(yīng)商風(fēng)險(xiǎn)分析程序、GRC產(chǎn)品等，這些工具收集了大量信息，企業(yè)安全團(tuán)隊(duì)必須分解和規(guī)范化這些信息以確定安全風(fēng)險(xiǎn)。

雖然這些傳統(tǒng)工具針對(duì)其特定類型的控制提供了數(shù)據(jù)視圖，但這些系統(tǒng)的輸出往往不是統(tǒng)一的，又或者這些數(shù)據(jù)被分解成匯總數(shù)據(jù)，并被輸入到一個(gè)或者多個(gè)SIEM工具以在視覺上顯示安全團(tuán)隊(duì)感興趣的預(yù)定事件。一旦確定了某個(gè)趨勢(shì)或者潛在事故，安全專業(yè)人士團(tuán)隊(duì)就必須從大量輸出數(shù)據(jù)中篩選出證據(jù)以發(fā)現(xiàn)任何未經(jīng)授權(quán)或惡意的活動(dòng)。對(duì)于安全管理而言，這種“松散結(jié)合”的方法通常可行，但它速度很慢，很容易錯(cuò)過良好偽裝的惡意事件，并且要在對(duì)大量歷史數(shù)據(jù)進(jìn)行收集、分析和總結(jié)后，才能發(fā)現(xiàn)嚴(yán)重的安全事件。

相比之下，大數(shù)據(jù)安全環(huán)境的創(chuàng)建需要依賴于前面提到的工具，為安全信息輸入單一邏輯大數(shù)據(jù)安全信息倉(cāng)庫(kù)。這種倉(cāng)庫(kù)的優(yōu)勢(shì)在于，它將數(shù)據(jù)作為更大的安全生態(tài)系統(tǒng)的一部分，這個(gè)安全生態(tài)系統(tǒng)具有強(qiáng)大的分析和趨勢(shì)分析工具來識(shí)別威脅，威脅需要通過檢查多個(gè)數(shù)據(jù)集才能被確認(rèn)，而不像傳統(tǒng)的方法那樣---安全團(tuán)隊(duì)通過虛擬放大鏡來篩選松散耦合的數(shù)據(jù)集。

保護(hù)大數(shù)據(jù)：基礎(chǔ)設(shè)施支持

當(dāng)然在其核心，這種新環(huán)境將需要對(duì)基礎(chǔ)設(shè)施進(jìn)行調(diào)整，使其能夠收集和分析數(shù)據(jù)。

為了創(chuàng)建支持大數(shù)據(jù)環(huán)境的基礎(chǔ)設(shè)施，我們需要一個(gè)安全且高速的網(wǎng)絡(luò)來收集很多安全系統(tǒng)數(shù)據(jù)源，從而滿足大數(shù)據(jù)收集要求。鑒于大數(shù)據(jù)基礎(chǔ)設(shè)施的虛擬化和分布式性質(zhì)，企業(yè)需要將虛擬網(wǎng)絡(luò)作為底層通信基礎(chǔ)設(shè)施。此外，從承載大數(shù)據(jù)的角度來看，在數(shù)據(jù)中心和虛擬設(shè)備之間使用VLAN等技術(shù)作為虛擬主機(jī)（已經(jīng)部署了虛擬交換機(jī)）內(nèi)的網(wǎng)絡(luò)是最佳選擇。由于防火墻需要檢查通過防火墻的每個(gè)會(huì)話的每個(gè)數(shù)據(jù)包，它們成了大數(shù)據(jù)快速計(jì)算能力的瓶頸。因此，企業(yè)需要分離傳統(tǒng)用戶流量與構(gòu)成大數(shù)據(jù)安全數(shù)據(jù)的流量。通過確保只有受信任的服務(wù)器流量流經(jīng)加密網(wǎng)絡(luò)通道以及消除之間的傳統(tǒng)基礎(chǔ)設(shè)施防火墻，這個(gè)系統(tǒng)就能夠以所需要的不受阻礙的速度進(jìn)行通信。

接著，這個(gè)安全數(shù)據(jù)倉(cāng)庫(kù)的虛擬服務(wù)器需要受到保護(hù)。最好的做法是，確保這些服務(wù)器按照NIST標(biāo)準(zhǔn)進(jìn)行加強(qiáng)，卸載不必要的服務(wù)（例如FTP工具）以及確保有一個(gè)良好的補(bǔ)丁管理流程。鑒于這些服務(wù)器上的數(shù)據(jù)的重要性，我們還需要為大數(shù)據(jù)中心部署備份服務(wù)。此外，這些備份還必須加密--無論是通過磁帶介質(zhì)還是次級(jí)驅(qū)動(dòng)器的備份，畢竟在很多時(shí)候，安全數(shù)據(jù)站點(diǎn)發(fā)生數(shù)據(jù)泄露事故都是因?yàn)閭浞菝浇榈膩G失或者被盜。