摘要：Gartner发布的相关报告显示，42%的IT主管表示其所在的企业已经投资大数据技术或者将在一年内进行相关投资。

　　在我们的身边，每一秒都有可能有一个恶意软件新样本产生，高达83%的企业遭受过高级持续威胁的攻击…大数据不仅仅是客户所面临的挑战，对安全产品供应商也同样。如果说，风险等于威胁乘以资产再乘以漏洞，那么大数据时代，风险正变得更加讳深莫测。
　　
　　Gartner发布的相关报告显示，42%的IT主管表示其所在的企业已经投资大数据技术或者将在一年内进行相关投资。从海量的低价值密度的结构化和非结构化数据中获取有价值的信息，显然已经成为企业IT收益的重要组成部分。与此同时，还没结束的2013年已经被人们扣上了“网络安全漏洞之年”的帽子。
　　
　　对于大数据来讲，重点不是数据，而是应该如何处理这些数据——对这些数据进行分析获取所需要的情报信息，Gartner发布的这一言论同样被广泛认同。事实上，SIEM本身就是为了应对数据处理能力不足这一根本问题。以SIEM为平台的整合解决方案对不同攻击具有更高的可视度，让安全防护更加主动。
　　
　　实时分析的强大性渗透整个网络
　　
　　一些具有安全意识的行业，例如大型金融服务机构和政府机构早在初期已经采用SIEM，但直到2005年左右，萨班斯-奥克斯利法案审计通过之后才得到广泛应用并建立有效市场。合规审计不仅扩大了SIEM的应用规模，还衍生了大量其他安全设备并提升了日志记录水平。
　　
　　从众多的报道中，我们能够看到一些机构组织在已经通过了据称基于严格合规标准的安全审计以后，仍然发生了灾难性的数据泄露，IT安全防护亟需从按章照抄式的合规发展为覆盖外围、内部、数据和系统安全防护的全方位安全计划。为应对这些不断增加的安全控制手段，可谓是极富创新性和韧性的攻击者们同样提高了攻击方法的复杂度，SIEM需要检测缓慢攻击，快速检测事件流异常，并获取相关的数据、应用程序和数据库上下文信息。而大数据包含的数据集规模过于庞大，拥有强大的数据分析能力的SIEM解决方案才得以胜任。
　　
　　关系数据可扩展性。由于事件数据量持续成倍增加，攻击复杂度也越来越高，通过有关来源、资产、用户和数据智能态势感知的关系数据丰富事件数据将变得十分关键。另外，还需要在数据库架构中提供这类信息与事件流之间的实时关联。同时，为避免分析性能下降，当用户请求获取信息时，许多SIEM只是简单查找此信息，而不会进行实时关联和呈现。迈克菲的SIEM解决方案可以运用此类信息智能地创建准确、实时的风险分析图。
　　
　　动态分析。大数据环境下，仅仅是简单的事件流分析已经不足以获得对真实态势的感知。当今的SIEM需要动态情景，从而根据来源信誉、资产风险以及与之相关的数据、应用程序和数据库活动，识别用户行为变化并动态调节风险。动态分析是缓慢攻击检测的重要组成部分，大数据安全SIEM架构需要适应这种情况。
　　
　　历史数据分析。攻击检测和有效事件响应的另一个重要方面是能够分析历史事件数据。鉴于当今的攻击方法，迈克菲SIEM解决方案能够访问数年的数据，从而快速定位模式和异常，同时在不影响性能的前提下开展实时分析。同时还能够与存储系统轻松集成并有效存储事件数据，以避免使用大量存储设备及产生巨额成本，其创新的架构可以支持频繁地同时使用实时功能和历史功能。
　　
　　事件暴增。当发生事件数据增长超出预期峰值限制时，分析人员能否确定这种事件量增长是否由主动攻击引起将至关重要。专为大数据安全构建的迈克菲SIEM不仅能够处理这些暴增情景，而且还能够将这些暴增情形纳入许可方案。相反，那些不了解这一问题的SIEM将会在超出每秒事件量(EPS)限制时丢弃事件或阻止分析人员访问控制台，在最关键的时刻禁止安全团队访问他们的主要态势感知工具。
　　
　　大数据不仅对于机构是一项严峻挑战，对于安全团队同样提出了更高要求。过去，对于加强安全性的迫切需求一直驱使人们收集分析越来越多的事件和安全数据。
　　
　　责任编辑：余芯