根據(jù)ESG研究公司表示，44%的大型企業(yè)（即擁有超過1000名員工的企業(yè)）認為其安全數(shù)據(jù)收集和分析是“大數(shù)據(jù)”應(yīng)用，而另外44%認為其安全數(shù)據(jù)收集和分析將會在未來2年內(nèi)成為“大數(shù)據(jù)”應(yīng)用。此外，86%的企業(yè)正在收集比兩年前“更多”或“略多”的安全數(shù)據(jù)。

　　這種增長趨勢非常明顯，大型企業(yè)正在收集、處理和保存越來越多的數(shù)據(jù)用于分析，他們使用來自IBM、Lancope、LogRhythm、Raytheon、RSA Security和Splunk等供應(yīng)商的工具和服務(wù)從數(shù)據(jù)中獲取可操作情報用于風(fēng)險管理和事故預(yù)防/檢測/響應(yīng)。

　　最近，筆者與安全專家以及供應(yīng)商圍繞大數(shù)據(jù)安全分析進行了很多探討，這些討論往往專注于分析應(yīng)用程序方面。有時候這些討論會圍繞于安全分析基礎(chǔ)設(shè)施，例如Hadoop、HDFS、Pig和Mahout,有時候則圍繞UI、可視化分析、應(yīng)用程序整合等。

　　每個人都對大數(shù)據(jù)安全分析應(yīng)用程序感興趣，但幾乎沒有人會問大數(shù)據(jù)安全分析所需要的IT基礎(chǔ)設(shè)施基礎(chǔ)。其結(jié)果是，很多企業(yè)會受到打擊，他們甚至無法收集他們想要分析的安全數(shù)據(jù)。

　　收集和處理千兆或兆兆字節(jié)的安全數(shù)據(jù)需要對大數(shù)據(jù)安全分析管道進行一些規(guī)劃和部署，包括如下：

　　·數(shù)據(jù)包捕捉設(shè)備。這些設(shè)備包括來自Cavium、Emulex和Solarflare等供應(yīng)商的高性能智能NIC卡，磁盤驅(qū)動器，以及來自Wireshark等供應(yīng)商的PCAP軟件，它們整合在一起作為數(shù)據(jù)包捕捉設(shè)備。這些設(shè)備需要足夠快以捕捉和處理數(shù)據(jù)包，用于分析引擎的分類。PCAP硬件設(shè)備將出現(xiàn)在整個網(wǎng)絡(luò)的關(guān)鍵連接點，而虛擬PCAP設(shè)備能夠支持服務(wù)器虛擬化和云計算平臺。

　　·分析分布網(wǎng)絡(luò)。數(shù)據(jù)包捕捉設(shè)備收集和處理數(shù)據(jù)，但數(shù)據(jù)仍然需要接近實時地在多個分析引擎移動。這正是分析分布網(wǎng)絡(luò)的工作，這種系統(tǒng)包括來自Anue、Apcon、BitTap、Gigamon、Netscout和Riverbed等供應(yīng)商的設(shè)備。在某些情況下，分析分布網(wǎng)絡(luò)將補充數(shù)據(jù)包捕捉設(shè)備，在其他情況下，分析分布網(wǎng)絡(luò)將提供輕量級PCAP功能。（請注意，用來描述這個的行業(yè)術(shù)語是“網(wǎng)絡(luò)數(shù)據(jù)包代理設(shè)備”,但筆者認為這太以設(shè)備為中心，所以換了名稱。）

　　·SDN。SDN可編程控制平面很可能會成為窮人的分析分布網(wǎng)絡(luò)，但SDN不會很快就搶占分配網(wǎng)絡(luò)設(shè)備的地位。SDN將會成為分析基礎(chǔ)設(shè)施的一部分，補充PCAP和分析分布網(wǎng)絡(luò)功能。SDN和分析分布網(wǎng)絡(luò)整合給網(wǎng)絡(luò)數(shù)據(jù)捕捉和分析引擎帶來了強大的連接性。

　　·分析中間件。在很多情況下，每個分析工具收集、處理和路由其自己的數(shù)據(jù)。雖然這是可行的，但這帶來了很大的冗余性、資本成本和運營開銷。這里需要的是某種類型的基于標準的中間件，以進行消息隊列或發(fā)布和訂閱。例如，RSA Security公司使用開源RabiitMQ作為其分析引擎之間的中間件。

　　從架構(gòu)的角度來看，企業(yè)可以采用分層的方法來部署大數(shù)據(jù)安全分析，其中分析引擎從管道中抽象出來，但可以很容易地用來定制化安全數(shù)據(jù)收集、處理和分布。這能讓首席信息官、首席信息安全官和網(wǎng)絡(luò)工程師來調(diào)整期基礎(chǔ)設(shè)施、流程和分析引擎，滿足其具體的企業(yè)和行業(yè)要求，以及管理資本和運營成本。

　　這里有一個很明確的教訓(xùn)：你不能通過簡單地連接每個分析引擎到span端口來收集、處理和路由安全數(shù)據(jù)。為了避免這種情況，首席信息官、首席信息安全官和網(wǎng)絡(luò)工程師需要通過適當?shù)墓艿罏榇髷?shù)據(jù)安全分析調(diào)整其計劃。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：大數(shù)據(jù)安全分析“架構(gòu)”

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839515596.html