摘要: 原题:《大数据就这样改变了安全:门和窗是必须的,但摄像头也是少不了的》传统信息安全的核心是一个“防”字,就像是为了保证安全给房间装上门、窗和锁。门、窗和锁虽然是必可不少的安全装备,但是在大数据时代,您不觉得在房间里多安装一些“摄像头”会更加保险吗?北京瀚思...
原题:《大数据就这样改变了安全:门和窗是必须的,但摄像头也是少不了的》
传统信息安全的核心是一个“防”字,就像是为了保证安全给房间装上门、窗和锁。门、窗和锁虽然是必可不少的安全装备,但是在大数据时代,您不觉得在房间里多安装一些“摄像头”会更加保险吗?北京瀚思安信科技有限公司(以下简称瀚思安信)就是一家专门做“摄像头”的大数据安全分析公司。摄像头只是一个比喻,其实就是借助大数据工具,对企业内外部所有相关的数据进行分析,找出传统安全工具无法发现的安全漏洞,从而改善企业的安全状况。
从防御到侦测和响应
IDC预测,到2020年,全球信息安全市场的规模将达到500亿美元,云安全、互联网安全和大数据安全是信息安全市场的三大支柱。大数据安全就是通过分析的手段实现安全的智能化。它是未来保证企业安全的重中之重。
传统的信息安全策略是基于签名和规则的安全模型,对已知的各种安全威胁进行防御。但是在云计算、移动化等趋势出现后,传统的安全边界正在被打破。早在两年前,Gartner就已经预言,安全的边界会越来越模糊,大数据将成为解决安全问题的关键所在。
“随着安全威胁的增多,以及安全攻击变得更有针对性,企业已经不能再依靠传统的安全设备的简单组合,就像门、窗和锁那样应对所有的安全攻击了。”瀚思安信联合创始人兼首席运营官董昕分析说,“利用大数据解决安全问题并不是纸上谈兵,而是已经有了实实在在的产品和解决方案。”美国硅谷已经出现了很多从事大数据安全分析的公司。在中国,瀚思安信冲在了前面。
信息安全1.0时代的特征是以防御为中心,它的基础是基于规则和身份验证的安全模型。但是现在,传统的安全手段已经无法有效应对日益增长的高级可持续攻击和内部安全攻击。现在已经步入信息安全2.0时代,其特征是以侦测和响应为中心。现在也是大数据在安全方面真正发挥作用的时候了。
Gartner的数据显示,过去,企业将安全预算的90%投入在防御方面,而今后60%的安全预算将用于侦测与响应。大数据将完全改变安全市场的规则。上一次信息安全市场的大变革发生在1998年,转折点是网络安全取代了单机杀毒。Gartner认为,现在,大数据给安全领域带来的变革比上一次安全变革的意义更加重大,影响也更加深远。
大数据安全不是纸上谈兵
虽然公司成立不久,但瀚思安信基于大数据分析的下一代安全信息分析系统HanSight Enterprise已经在银行、公安等关键行业客户那里得到了部署。董昕举了个例子,国内某银行的网银系统采用瀚思安信HanSight Enterprise,每天分析1TB的日志数据,通过算法和模式识别的方式,找出了很多以前用户没有发现的内部和外部的攻击。
“我们遇到的或刻意寻找的客户都是已经在安全方面有了较大投入的企业,它们很清楚自己的安全问题所在,而且知道必须要采用新的方法去解决。”董昕补充说,“采用大数据安全分析解决方案的企业,首先必须部署一个比较完善的安全防护体系,防火墙、入侵检测系统、防信息泄漏系统等要一应俱全。在这种情况下,企业还要有分析大量数据的需求,比如1TB以上的数据,这样才能更充分地发挥像HanSight Enterprise这样的产品的能力。不过,使用HanSight Enterprise并不需要掌握复杂的技术,普通的IT管理员就能胜任操作和管理工作。”
Gartner预测,到2016年,25%的全球大型企业将部署大数据分析系统,专门应对信息安全或网络欺诈,而今天这一比例仅为8%。企业在部署大数据分析系统的前6个月就可获得有效的投资回报。
目标是大企业
谈到公司的定位,董昕表示,大数据分析与安全在瀚思安信身上实现了有机统一。一方面,瀚思安信会基于Hadoop等不断提升大数据的处理效率;另一方面,瀚思安信还会将大数据处理工具与企业的业务关联起来,用于安全分析。
解决大数据时代的安全问题,瀚思安信的理念是“数据搜索+安全分析”,具体来说包括存储和索引、搜索和检测、机器学习和模式识别、安全知识库、监控和告警、报表和分析等六大环节。
瀚思安信目前只有21个人,其中18个是工程师。新产品开发对公司的发展来说至关重要。现阶段,瀚思安信只有两个产品:一个是免费版的企业级日志管理系统HanSight DataViewer 2.0,它是基于业界较成熟的分布式生态系统Elasticsearch开发的企业级日志管理平台,支持100TB数据量,提供搜索、大规模日志分析和可视化等服务;另一个是HanSight Enterprise。董昕希望用户通过试用免费版的企业级日志管理系统,先对瀚思安信利用大数据解决安全问题的思路和想法有一个直观的认识,然后在企业需要进行大数据安全分析时就可以更好地采用HanSight Enterprise。
HanSight Enterprise具有三大能力:未知威胁的发现能力、安全事件取证和上下文关联检索能力、全面安全态势展现和长周期分析报告能力。董昕介绍说:“正因为有了HanSight Enterprise,我们才可以帮助银行客户在秒级的时间里处理8亿条数据,并从中发现安全漏洞。”
HanSight Enterprise的目标客户群是大型企业。出于数据保密性和数据处理性能的考虑,现在的用户都是将HanSight Enterprise部署在私有云的环境中。“下一步,瀚思安信会考虑与公有云服务商合作,让中小型企业客户未来也能采用瀚思安信的大数据安全分析工具。”董昕介绍说,“现阶段,我们只能分析IT设备的日志数据。2015年,我们的产品将依靠全量网络流进行更大规模的数据分析。”
与传统安全厂商是互补关系
大数据安全分析产品与传统的网络安全产品并不矛盾,两者是互补的关系。比如,传统安全设备上的数据也能为HanSight Enterprise所分析。
“在很长一段时间里,我们将与传统的安全厂商共存。毕竟‘门和窗’是必须的,但只有‘门和窗’已不能解决安全问题,还需要‘摄像头’,然后对摄像头采集来的数据进行分析。”董昕介绍说,“我们与国内的一些安全厂商,比如绿盟、启明星辰等都保持着密切的沟通。”
其实,像瀚思安信下一代安全信息分析系统中最基本的日志数据分析功能,其他许多厂商的产品也都有,它们的区别到底在哪里呢?董昕解释说,虽然很多厂商也在做日志分析,但是它们的产品只能分析自己系统产生的数据,在关联性分析方面差强人意。另外,其他厂商的大数据分析工具在处理能力上还有不足,不能进行全量分析,无法将大数据分析工具的价值全部发挥出来。而瀚思安信的下一代安全信息分析系统是一个企业级的产品,在满足安全性、合规性和审计要求的情况下,可以实现实时的全量数据的安全分析,无论是数据分析的广度还是深度都有明显优势。
(来源:中国计算机报 记者:郭涛)
