论剑黄山，大数据时代信息安全需主动

如今的世界处于“大数据”时代 — 安全大数据。了解难以察觉的安全威胁会耗费数天甚至数月的时间。大量的互不相干的数据流难以形成简明、有条理的事件“拼图”。所采集和分析的数据量越大，看起来越混乱，重构事件所需的时间也越长。如果攻击快速且凶猛(例如拒绝服务攻击或快速传播的蠕虫)，花数天或数月诊断问题会带来巨大的合规和财务影响。哪些资产真正处于威胁风险中，哪些资产有补救控制或应对措施?为了回答这一问题，管理员需要监控所有系统的安全状况，包括访问其网络的移动设备和个人拥有设备， 并及时确定优先级和补救措施。 研究报告证实，只有35%的企业可以快速检测安全漏洞，多数商业机构都缺乏驾驭大数据的安全力量。现在，企业安全信息和事件管理(SIEM)越来越受到重视。这种安全技术被视为一种飞跃，即采取主动的安全分析和实时态势感知，以大数据分析的方法，实现真正针对大数据的安全管理。

9月14日，迈克菲举办安全互联高层研讨会，吸引了来自电信、金融、制造业和高科技公司的30余名IT负责人和安全主管。会上，大家针对大数据时代下信息安全及安全事件管理展开了热烈讨论。

现在，每周有近469,000个恶意软件样本产生，它们目标更明确，手段更隐蔽，持续时间更长，有的甚至可以以一年、几年作为周期，窃取机密数据;有高达83%的企业遭受过高级持续威胁攻击……而仅以迈克菲为例，每天分析的病毒样本数量，平均在十几万单量级。可见，在信息技术、云计算和大数据为整个IT及众多行业带来机会的同时，也为企业的信息安全提出了更高的要求。

迈克菲采用的EDB专利技术是SIEM的核心。EDB可以借助高度索引的专业数据库，实现大规模高性能集成日志和事件采集。根据环境实时丰富完善数据，以获取智能信息，并针对当前和历史数据提供在线报告和分析。快速响应是其显著特点。比如实例证明：在4核8G内存的相同环境下，传统数据库MYSQL， 后台直接查询760多万条数据，统计需要花费近37秒，抽取近千万级条数据时，花费43秒。而在同等硬件环境下， McAfee SIEM借助EDB技术处理6000万条数据量时，数量翻了数倍，但无论统计还是抽取，虽然涉及到前台UI交换，但几乎在几秒内实时完成。

同时由于EDB无需DBA就可以进行快速部署，无需进行持续数据采集优化，只需轻点鼠标就可以深入分析所需信息，并自动关联环境和事件，所有这一切将使企业花费更少的时间在管理上，充分提高运营效率。

在迈克菲看来，大数据时代，传统的事件发生后再进行清理的模式已经不适用。企业需要通过自动化分析处理与深度挖掘，将成本高昂的被动的、亡羊补牢式的事中、事后处理，转变为事前自动评估预测，采取前瞻性、优化的安全方法，让安全防护主动起来。

“企业也不能再孤立地解决安全难题，而是要构建综合防御体系，全面覆盖所有潜在威胁，”迈克菲安全专家在会上说道。作为迈克菲安全互联平台发动机和心脏的安全信息与事件管理，可将其全球威胁智能感知系统与应用、终端、网络、数据库等其它渠道信息进行整合，对安全数据进行实时分析。此外，IPS、防火墙等技术也被融入SIEM解决方案中，与其数据捕获、关联和分析功能相结合，以提高威胁跟踪与风险评估能力，从而实现实时协作、受控响应及精确报告。

受益于迈克菲的安全互联策略，企业不会再是根据有限或孤立的数据来做出临时性应对决策，而是在明确了解关联事件及其对基础设施的影响后，采取果断行动。包括三星，甲骨文，AIA在内的高科技企业，银行，保险，政府和教育机构已经采用迈克菲的SIEM解决方案。迈克菲正在帮助世界各地的诸多企业和机构快速做出安全决策提供坚实的判断依据。

近年来以重要基础设施为目标的网络攻击日益盛行，2012年伊朗核电站就遭受了火焰病毒的网络攻击。研讨会上，来自迈克菲的安全专家，通过简单直观的电机运行场景，演示了迈克菲如何通过SIEM监测以工业系统为目标的网络攻击，并结合动态感知系统对企业实施有效保护。