为了应对日益复杂的攻击,企业开始向大数据架构寻求依托,将其用于安全系统中,那么,这些方法是否足够安全,足以让企业安全人员高枕无忧了呢?
安全团队常常淹没于海量的安全数据中而无法清楚地了解一切,现如今,越来越多的企业在其安全系统中部署了相关大数据方案。十年前,防火墙、路由器以及其他安全日志的激增催生了SIEM系统。不过在SIEM就位及发挥作用前,大多数企业的安全日志已无法通过现有工具来评估。无形中SIEM系统的功用被削弱。尽管IT团队可以将更多的数据放到其中,但数据增长量相当庞大,这也意味着能够进入SIEM系统的安全数据变得越来越少。
真相是:数据越来越大
这可以反映将大数据技术应用到安全上的意义。最初大多数使用大数据构建的安全系统具有特定意义且基于Hadoop。通过与SIEM的结合,对所有拿到的数据流进行分析,从而协助安全团队成员提升整体安全态势。
那么用于分析的这些数据如何保护呢?并没有什么保护措施。数据只是集中到通用服务器上,作为Hadoop的一部分,没有特别的控制措施,好像这些数据没什么风险,也没那么重要一样。
但这是非常草率的做法。事实上这些收集到的数据是非常敏感的,有些则非常机密且至关重要。包括登录数据——谁在使用什么、从哪里使用以及登录时他们在做什么等。而水能载舟,亦能覆舟,数据湖能显示出人们进入企业的方式,同样对于恶意犯罪者而言,这样做也变得空前容易。
大数据与安全相互成全
从这一点上来讲,保证大数据安全以及将大数据用于提高安全性都非常重要。企业安全团队将数据湖和分析移至受保护的子网,进一步封锁服务器影像。这十分必要,毕竟早先的Hadoop版本并没有将安全考虑在内。任何人都可以提交作业、查看节点上存储的数据或注册系统服务。安全是一点点加进来的,从审计到接入控制再到加密数据以及数据和工作的隔离,所有参数由Kerberos定义。
对大数据架构的支持和服务以及越来越多的安全厂商不断发现其问题并持续进行修补、弥合差距。静止数据的加密到2014年才符合Hadoop标准。此前,都是厂商将其作为增值功能来提供。比如,惠普和IBM等供应商为其大数据架构创建安全附件,试图让企业能够更安全地使用大数据。
采用大数据架构并将其用于安全中,企业尚有很长的一段路要走。尽管大数据安全近年颇为风生水起,无论是平台、数据供给还是部署案例都在持续发展,但企业安全团队要小心保护这些分析工具,就像保护其他安全一样。