觀點

資安事件分析:Big Data夠快速、LM資訊更完整

2012 / 09 / 17
廖珮君
資安事件分析:Big Data夠快速、LM資訊更完整

駭客攻擊技術日新月異,迫使企業資安必須有所變革,才能阻擋不斷變化的資安攻擊,HP-ArcSight北亞區資訊安全事業部技術顧問經理蕭松瀛提出「智能安全」的觀念,他認為企業應該捨棄傳統以特徵碼為主的防禦方式,採取主動偵測與防禦的安全策略,EMC企業儲存事業部總裁Brian Gallagher也認為,安全必須是動態的,才能即時解決問題。

若要做到上述所說智能安全、動態安全,「事件分析」顯然是個不可或缺的功課,除了傳統LM/SIEM解決方案外,伴隨雲端運算而起的巨量資料分析,成為企業另一項新選擇。 Big Data除了應用在營運資料分析外,對資安事件偵測與防禦也有不錯的成效,舉例來說,EMC在2年前曾經發生網路攻擊事件,當時就是經由巨量資料分析而發現,並立即中斷網路連線1~2個小時阻止損失擴大。

Brian Gallagher進一步指出,就資安事件分析上,傳統Log分析有其效用在,但卻不夠快速,而Big Data可以real-time分析員工的使用行為,如:E-mail/AP使用行為、存取哪些資料、平日互動對象為誰…等,更即時有效地阻擋網路攻擊。

對此,蕭松瀛有不同看法,資安分析有其專業性存在,傳統LM/SIEM不只可以偵測資安事件,還能找出問題根源、協助資安人員處理事件。

舉例來說,一般資安設備只能看到IP,資安人員必須花很多時間去找出IP對應的使用者,然而,透過LM整合防火牆、DHCP、Windows作業系統三者的Log,資安人員就能在看到IP的同時,一併掌握對應的使用者是誰,加快處理資安事件的速度。 此外,也可透過Log分析找出今日與昨日的差異(如:多了10個行為),提供給IT人員主動檢測是否為入侵行為,或者是結合資安廠商在各個客戶身上所觀察到的資安攻擊行為進行偵測,提高發現資安攻擊的機率與時效性。

最後,Brian Gallagher認為,雖然目前導入Big Data分析工具的企業僅有5分之1,但未來必定會有蓬勃發展,Brian Gallagher認為,Big Data的發展就像雲端一樣,在台灣才剛剛起步,由於IT部門可能手中還有其他進行中的專案,沒有其他資源可用來導入巨量資料分析系統,一旦這些IT專案結束,為企業所省下的成本就可以用來建置Big Data系統。