根據(jù)ESG研究公司表示,44%的大型企業(yè)(即擁有超過1000名員工的企業(yè))認為其安全數(shù)據(jù)收集和分析是“大數(shù)據(jù)”應用,而另外44%認為其安全數(shù)據(jù)收集和分析將會在未來2年內(nèi)成為“大數(shù)據(jù)”應用。此外,86%的企業(yè)正在收集比兩年前“更多”或“略多”的安全數(shù)據(jù)。
這種增長趨勢非常明顯,大型企業(yè)正在收集、處理和保存越來越多的數(shù)據(jù)用于分析,他們使用來自IBM、Lancope、LogRhythm、Raytheon、RSA Security和Splunk等供應商的工具和服務從數(shù)據(jù)中獲取可操作情報用于風險管理和事故預防/檢測/響應。
最近,筆者與安全專家以及供應商圍繞大數(shù)據(jù)安全分析進行了很多探討,這些討論往往專注于分析應用程序方面。有時候這些討論會圍繞于安全分析基礎設施,例如Hadoop、HDFS、Pig和Mahout,有時候則圍繞UI、可視化分析、應用程序整合等。
每個人都對大數(shù)據(jù)安全分析應用程序感興趣,但幾乎沒有人會問大數(shù)據(jù)安全分析所需要的IT基礎設施基礎。其結(jié)果是,很多企業(yè)會受到打擊,他們甚至無法收集他們想要分析的安全數(shù)據(jù)。
收集和處理千兆或兆兆字節(jié)的安全數(shù)據(jù)需要對大數(shù)據(jù)安全分析管道進行一些規(guī)劃和部署,包括如下:
·數(shù)據(jù)包捕捉設備。這些設備包括來自Cavium、Emulex和Solarflare等供應商的高性能智能NIC卡,磁盤驅(qū)動器,以及來自Wireshark等供應商的PCAP軟件,它們整合在一起作為數(shù)據(jù)包捕捉設備。這些設備需要足夠快以捕捉和處理數(shù)據(jù)包,用于分析引擎的分類。PCAP硬件設備將出現(xiàn)在整個網(wǎng)絡的關(guān)鍵連接點,而虛擬PCAP設備能夠支持服務器虛擬化和云計算平臺。
·分析分布網(wǎng)絡。數(shù)據(jù)包捕捉設備收集和處理數(shù)據(jù),但數(shù)據(jù)仍然需要接近實時地在多個分析引擎移動。這正是分析分布網(wǎng)絡的工作,這種系統(tǒng)包括來自Anue、Apcon、BitTap、Gigamon、Netscout和Riverbed等供應商的設備。在某些情況下,分析分布網(wǎng)絡將補充數(shù)據(jù)包捕捉設備,在其他情況下,分析分布網(wǎng)絡將提供輕量級PCAP功能。(請注意,用來描述這個的行業(yè)術(shù)語是“網(wǎng)絡數(shù)據(jù)包代理設備”,但筆者認為這太以設備為中心,所以換了名稱。)
·SDN。SDN可編程控制平面很可能會成為窮人的分析分布網(wǎng)絡,但SDN不會很快就搶占分配網(wǎng)絡設備的地位。SDN將會成為分析基礎設施的一部分,補充PCAP和分析分布網(wǎng)絡功能。SDN和分析分布網(wǎng)絡整合給網(wǎng)絡數(shù)據(jù)捕捉和分析引擎帶來了強大的連接性。
·分析中間件。在很多情況下,每個分析工具收集、處理和路由其自己的數(shù)據(jù)。雖然這是可行的,但這帶來了很大的冗余性、資本成本和運營開銷。這里需要的是某種類型的基于標準的中間件,以進行消息隊列或發(fā)布和訂閱。例如,RSA Security公司使用開源RabiitMQ作為其分析引擎之間的中間件。
從架構(gòu)的角度來看,企業(yè)可以采用分層的方法來部署大數(shù)據(jù)安全分析,其中分析引擎從管道中抽象出來,但可以很容易地用來定制化安全數(shù)據(jù)收集、處理和分布。這能讓首席信息官、首席信息安全官和網(wǎng)絡工程師來調(diào)整期基礎設施、流程和分析引擎,滿足其具體的企業(yè)和行業(yè)要求,以及管理資本和運營成本。
這里有一個很明確的教訓:你不能通過簡單地連接每個分析引擎到span端口來收集、處理和路由安全數(shù)據(jù)。為了避免這種情況,首席信息官、首席信息安全官和網(wǎng)絡工程師需要通過適當?shù)墓艿罏榇髷?shù)據(jù)安全分析調(diào)整其計劃。