論劍黃山，大數據時代信息安全需主動

　　如今的世界處于“大數據”時代 — 安全大數據。了解難以察覺的安全威脅會耗費數天甚至數月的時間。大量的互不相干的數據流難以形成簡明、有條理的事件“拼圖”。所采集和分析的數據量越大，看起來越混亂，重構事件所需的時間也越長。如果攻擊快速且兇猛(例如拒絕服務攻擊或快速傳播的蠕蟲)，花數天或數月診斷問題會帶來巨大的合規和財務影響。哪些資產真正處于威脅風險中，哪些資產有補救控制或應對措施?為了回答這一問題，管理員需要監控所有系統的安全狀況，包括訪問其網絡的移動設備和個人擁有設備， 并及時確定優先級和補救措施。 研究報告證實，只有35%的企業可以快速檢測安全漏洞，多數商業機構都缺乏駕馭大數據的安全力量。現在，企業安全信息和事件管理(SIEM)越來越受到重視。這種安全技術被視為一種飛躍，即采取主動的安全分析和實時態勢感知，以大數據分析的方法，實現真正針對大數據的安全管理。

　　9月14日，邁克菲舉辦安全互聯高層研討會，吸引了來自電信、金融、制造業和高科技公司的30余名IT負責人和安全主管。會上，大家針對大數據時代下信息安全及安全事件管理展開了熱烈討論。

　　現在，每周有近469,000個惡意軟件樣本產生，它們目標更明確，手段更隱蔽，持續時間更長，有的甚至可以以一年、幾年作為周期，竊取機密數據;有高達83%的企業遭受過高級持續威脅攻擊……而僅以邁克菲為例，每天分析的病毒樣本數量，平均在十幾萬單量級。可見，在信息技術、云計算和大數據為整個IT及眾多行業帶來機會的同時，也為企業的信息安全提出了更高的要求。

　　邁克菲采用的EDB專利技術是SIEM的核心。EDB可以借助高度索引的專業數據庫，實現大規模高性能集成日志和事件采集。根據環境實時豐富完善數據，以獲取智能信息，并針對當前和歷史數據提供在線報告和分析。快速響應是其顯著特點。比如實例證明：在4核8G內存的相同環境下，傳統數據庫MYSQL， 后臺直接查詢760多萬條數據，統計需要花費近37秒，抽取近千萬級條數據時，花費43秒。而在同等硬件環境下， McAfee SIEM借助EDB技術處理6000萬條數據量時，數量翻了數倍，但無論統計還是抽取，雖然涉及到前臺UI交換，但幾乎在幾秒內實時完成。

　　同時由于EDB無需DBA就可以進行快速部署，無需進行持續數據采集優化，只需輕點鼠標就可以深入分析所需信息，并自動關聯環境和事件，所有這一切將使企業花費更少的時間在管理上，充分提高運營效率。

　　在邁克菲看來，大數據時代，傳統的事件發生后再進行清理的模式已經不適用。企業需要通過自動化分析處理與深度挖掘，將成本高昂的被動的、亡羊補牢式的事中、事后處理，轉變為事前自動評估預測，采取前瞻性、優化的安全方法，讓安全防護主動起來。

　　“企業也不能再孤立地解決安全難題，而是要構建綜合防御體系，全面覆蓋所有潛在威脅，”邁克菲安全專家在會上說道。作為邁克菲安全互聯平臺發動機和心臟的安全信息與事件管理，可將其全球威脅智能感知系統與應用、終端、網絡、數據庫等其它渠道信息進行整合，對安全數據進行實時分析。此外，IPS、防火墻等技術也被融入SIEM解決方案中，與其數據捕獲、關聯和分析功能相結合，以提高威脅跟蹤與風險評估能力，從而實現實時協作、受控響應及精確報告。

　　受益于邁克菲的安全互聯策略，企業不會再是根據有限或孤立的數據來做出臨時性應對決策，而是在明確了解關聯事件及其對基礎設施的影響后，采取果斷行動。包括三星，甲骨文，AIA在內的高科技企業，銀行，保險，政府和教育機構已經采用邁克菲的SIEM解決方案。邁克菲正在幫助世界各地的諸多企業和機構快速做出安全決策提供堅實的判斷依據。

　　近年來以重要基礎設施為目標的網絡攻擊日益盛行，2012年伊朗核電站就遭受了火焰病毒的網絡攻擊。研討會上，來自邁克菲的安全專家，通過簡單直觀的電機運行場景，演示了邁克菲如何通過SIEM監測以工業系統為目標的網絡攻擊，并結合動態感知系統對企業實施有效保護。