姚翔引用美國工程師鮑勃的故事(詳情可以微博搜索下)表示,企業(yè)的安全防范需要強大的數(shù)據(jù)分析支撐��,僅靠經(jīng)驗和人力遠遠不夠���。
大數(shù)據(jù)時代:企業(yè)面臨復合型安全風險
《惠普2012年網(wǎng)絡(luò)安全風險報告》顯示,全球風險泄露數(shù)量從2011年的6844增至2012年的8137��,上升19%;移動漏洞比例迅速增加���,從2011年的158個增至2012年的266個�����,增幅達68%��,同時��,2012年有48%的被測試移動應(yīng)用允許未授權(quán)的訪問;SCADA系統(tǒng)內(nèi)的漏洞則從2008年的22個增至2012年的191個�,激增768%�����。
針對漏洞激增的趨勢��,惠普增強了惠普信譽安全監(jiān)視器1.5(HP Reputation Security Monitor (RepSM 1.5))的功能�����,通過直接利用來自HPSR的數(shù)據(jù)幫助客戶抵御高級威脅����。這些數(shù)據(jù)增強了對P2P網(wǎng)絡(luò)使用、潛在魚叉式網(wǎng)絡(luò)釣魚和大量垃圾郵件的識別����,同時還能識別隨時間變化的攻擊模式,如偵查掃描和異?��;顒铀?。
姚翔認為,惠普安全報告揭示出這樣一種趨勢:企業(yè)需要應(yīng)對越來越多來自不同層面的安全威脅����,這使得企業(yè)面對威脅越發(fā)復雜和復合,而原本針對單一威脅或傳統(tǒng)威脅的方法無法進行有效的防御����、監(jiān)視和控制。
姚翔表示��,企業(yè)需要多重技術(shù)面對這些復合型的挑戰(zhàn)����,需要從“加固受攻擊面、加強風險管理���、主動保護信息”三個層面考慮安全防范的問題���,而在這三個層面,惠普都有相應(yīng)的企業(yè)安全產(chǎn)品技術(shù)或與合作伙伴合作實現(xiàn)相關(guān)的解決方案�。
企業(yè)面臨復合型安全風險正是大數(shù)據(jù)時代下的顯著特征,這兩者之間雖然沒有直接�、顯著的因果關(guān)系�,但企業(yè)面臨復合型安全風險的推動力——或者說誘因——也同時在一定程度上促進了大數(shù)據(jù)時代的發(fā)展���。
大數(shù)據(jù)時代的助推動力,很大程度上來自于兩個方面:1����、原有數(shù)據(jù)集的不斷堆積與膨脹;2、大量新設(shè)備接入����,也即數(shù)據(jù)源增多所導致的數(shù)據(jù)數(shù)量、數(shù)據(jù)種類的激增——很明顯��,后者在推動大數(shù)據(jù)發(fā)展的同時�,意味著更多的數(shù)據(jù)源、更多的數(shù)據(jù)訪問請求�����,也就是更多需要安全防護的數(shù)據(jù)類型和數(shù)據(jù)系統(tǒng)��,而這自然是企業(yè)面臨復合型安全風險的重要原因��。
與大數(shù)據(jù)集成是安全產(chǎn)品未來一段時間的熱點
姚翔表示��,針對企業(yè)面臨復合型安全風險,惠普提供了一系列整合但在各個方面有所針對性的解決方案:“安全包括大數(shù)據(jù)�����、數(shù)據(jù)信息優(yōu)化是惠普重點的推廣方向���,而我們做的所有事情都是針對這三個方向來的�。第一是加固受攻擊面��,包括邊緣的網(wǎng)絡(luò)設(shè)備�����、Web及整個互聯(lián)網(wǎng)所交付的部分����,要加固防護。第二是加強風險管理�,主要是對外防護,而安全管理所涉及的方面是對內(nèi)對外��。以前安全也有一些比較大的安全事件跟內(nèi)部員工有很大的關(guān)系��。所以這是我們要加強風險管理的原因。第三����,主動防護信息。”
姚翔表示����,惠普安全的產(chǎn)品線隨著惠普在安全及軟件上的一些收購���,會更加充實�����。
破解安全迷局:將綜合��、實時關(guān)聯(lián)與內(nèi)容分析相結(jié)合
“大數(shù)據(jù)有一個傾向是一位追求大而不追求挖掘�����,光有大數(shù)據(jù)而不挖掘?qū)?shù)據(jù)是沒有任何意義的�����。”姚翔認為�����,應(yīng)用與業(yè)務(wù)分析類似的大數(shù)據(jù)理念——著重數(shù)據(jù)分析甚至是實時分析——對企業(yè)的安全工作同樣大有裨益�。
姚翔認為,尤其是在互聯(lián)網(wǎng)無處不在的時代��,企業(yè)實際上“相當于把整個IT管理都放在了網(wǎng)絡(luò)上”�,如果企業(yè)的IT技術(shù)水平存在問題和漏洞,“誰都可以挑戰(zhàn)你的IT管理”��,這將導致企業(yè)的首席安全官或CIO陷入手足無措的境地:“首席安全官面臨的是黑客在不停地挑戰(zhàn)他�,他不知道誰會攻擊他,以什么樣的技術(shù)來攻擊他���。通常首席信息官會覺得手足無措���,他不知道該做什么,他無法跟蹤安全最新的進展���。”
通過對大數(shù)據(jù)——企業(yè)內(nèi)部或企業(yè)外部的——分析���,實現(xiàn)前瞻性、深層次��、可信度高的預(yù)判,從而有的放矢的解決企業(yè)的安全漏洞和隱患被姚翔認為將會對企業(yè)安全領(lǐng)域產(chǎn)生極大的變革性影響�,而更進一步與云計算的結(jié)合,則能夠?qū)⑵髽I(yè)的安全管理水平推向一場革命性的進步����。
HP ArcSight Express 4.0 正在不斷加強
而惠普在這其中的核心,就是HP ArcSight Express 4.0����,惠普方面表示,針對數(shù)據(jù)量大但資源有限的中型企業(yè)��,HP ArcSight Express 4.0將安全信息和事件管理(SIEM)�、日志管理和用戶活動監(jiān)控整合成為開箱即用解決方案�,包括可連接至HP ArcSight IdentityView 和 HP RepSM的連接器。該解決方案能以低成本高收益的方式快速簡化安全事件的收集����、分析和管理。
HP ArcSight Express 4.0這一集成解決方案的核心意義在于���,通過從數(shù)百個數(shù)據(jù)源整合信息���,從而迅速發(fā)現(xiàn)潛在安全威脅,與此同時,還可以可監(jiān)視安全異常的用戶和應(yīng)用活動�,如可疑行為等,姚翔表示�,HP ArcSight Express 4.0在兩個方面具有業(yè)界領(lǐng)先的優(yōu)勢:1、使用最新的最新的CORR-Engine����,而非傳統(tǒng)的Oracle關(guān)系型數(shù)據(jù)庫,而是使查詢速度提高幾十倍以上;2��、信譽安全監(jiān)視器�����,基于惠普DVLabs所提供的數(shù)據(jù)�����,建立“安全黑名單”�,保證企業(yè)安全。
但對于惠普及其安全客戶群體來說��,HP ArcSight Express 4.0只是其為“云+大數(shù)據(jù)=安全變革”所提供的核心����,其整體解決方案與融合性的安全體驗才是其最大的競爭優(yōu)勢�,而Autonomy的加入則更帶來了顯著的變化���。
惠普安全:云+大數(shù)據(jù)=安全變革
首先����,惠普將HP ArcSight的安全信息與事件管理(SIEM)功能與HP Autonomy IDOL內(nèi)容分析引擎進行了整合�,從而能自動識別用戶與各類數(shù)據(jù)進行交互的環(huán)境、概念���、情緒和使用模式����,這一解決方案通過解讀原始安全數(shù)據(jù)的含義從而擴大了企業(yè)安全監(jiān)視功能的覆蓋范圍�。通過對與數(shù)據(jù)相關(guān)的人力情緒(如行為模式等)進行跟蹤和分析,企業(yè)能夠更迅速地識別之前被忽視的威脅——Autonomy一直引以為傲的語義分析能力��,不僅在惠普存儲的內(nèi)容管理��、內(nèi)容歸檔解決方案中加以利用�����,在安全領(lǐng)域同樣有了用武之地��。
據(jù)姚翔介紹�����,HP Autonomy能幫助企業(yè)通過數(shù)據(jù)了解內(nèi)部及外部的互動行為����,而全新的惠普ArcSight云事件收集器框架(HP ArcSight Cloud Connector Framework)則能幫助企業(yè)輕松收集云服務(wù)供應(yīng)商的應(yīng)用事件和日志數(shù)據(jù)。云事件收集器框架基于行業(yè)標準協(xié)議����,能夠提供統(tǒng)一、實時的視圖�����,以便企業(yè)了解用戶活動�,并為內(nèi)部和云應(yīng)用監(jiān)視威脅。
其次�����,惠普嘗試在安全解決方案中引入Hadoop平臺����,在加速大數(shù)據(jù)分析的同時�����,將企業(yè)多種來源的數(shù)據(jù)——結(jié)構(gòu)化的和非結(jié)構(gòu)化的——加以整合��,從而形成更加完整的數(shù)據(jù)集合����,而這也正是Autonomy的優(yōu)勢所在����。
HP ArcSight/Hadoop Integration Utility為即插即用型平臺,可將HP ArcSight 6.0c與Apache™ Hadoop™進行無縫集成�����。兩種技術(shù)的結(jié)合可加速挖掘大數(shù)據(jù)存儲的流程����,從而提供一個更完整的事件視圖,并更快識別安全攻擊趨勢���。
該解決方案將HP ArcSight的報告、搜索和關(guān)聯(lián)功能與Hadoop大型����、集中存儲庫進行結(jié)合��,為企業(yè)提供處理PB級信息存儲容量�。開源的機器學習算法��、統(tǒng)計分析����、異常檢查和預(yù)測分析均可用于存儲的數(shù)據(jù),以便更好地洞察并解決安全事件����。
第三,惠普推出“云CEF計劃”�,這一計劃旨在提供面向SaaS監(jiān)視的行業(yè)標準框架,通過基于REST的Flex接口�����,將HP ArcSight從本地數(shù)據(jù)中心接入包括box��、Google�、Salesforce、Amazon在內(nèi)的SaaS服務(wù)提供商���,實現(xiàn)從本地到云的安全延伸�,提高企業(yè)從本地中心到云中心的安全可見性。
CEF計劃意味著惠普正在面向混合云規(guī)劃其安全解決方案
“目前我們很多數(shù)據(jù)中心大部分還是在一個數(shù)據(jù)中心里的IT建設(shè)為主����,很多CIO給我們提了一個問題,大家都需要云���,如果客戶想把銷售系統(tǒng)或者是CRM系統(tǒng)放到Salesforce里面��,但又不在我的管控里����,這是一個挑戰(zhàn)���,放過去以后業(yè)務(wù)可以做����,可是是不是有安全的異常發(fā)生威脅?所以惠普跟這些SaaS廠商提供了一個云CEF計劃����,提供了一個標準的接口規(guī)范,盡管你的數(shù)據(jù)放在Salesforce上,惠普可以提供一個接口�����,以實現(xiàn)這種延伸�����。”姚翔表示��,這也是惠普在安全策略上的優(yōu)勢���,惠普希望“幫助用戶搭建一個從本地到云的安全全覆蓋”。
隨著惠普將Hadoop�����、實時分析����、無邊界云中心等理念加入到安全市場中來,惠普作為全面的IT基礎(chǔ)設(shè)施提供商的優(yōu)勢正在顯現(xiàn)出來����,與此同時,惠普通過收購,將業(yè)界成功的技術(shù)�、產(chǎn)品——如Autonomy——整合到安全產(chǎn)品線中,也進一步提升了惠普安全的競爭實力�。
而最值得期待的,是惠普如何將安全解決方案融合到惠普的融合基礎(chǔ)設(shè)施(CI)解決方案中��,隨著惠普將服務(wù)器��、存儲���、虛擬化��、云架構(gòu)甚至是網(wǎng)絡(luò)融合到統(tǒng)一的惠普CI體系中���,安全,或許是惠普CI在2013年的新競爭力?
