姚翔引用美國工程師鮑勃的故事(詳情可以微博搜索下)表示,企業(yè)的安全防范需要強(qiáng)大的數(shù)據(jù)分析支撐�,僅靠經(jīng)驗(yàn)和人力遠(yuǎn)遠(yuǎn)不夠��。
大數(shù)據(jù)時(shí)代:企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)
《惠普2012年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告》顯示�����,全球風(fēng)險(xiǎn)泄露數(shù)量從2011年的6844增至2012年的8137���,上升19%;移動漏洞比例迅速增加�����,從2011年的158個(gè)增至2012年的266個(gè)�,增幅達(dá)68%,同時(shí)���,2012年有48%的被測試移動應(yīng)用允許未授權(quán)的訪問;SCADA系統(tǒng)內(nèi)的漏洞則從2008年的22個(gè)增至2012年的191個(gè)�����,激增768%���。
針對漏洞激增的趨勢,惠普增強(qiáng)了惠普信譽(yù)安全監(jiān)視器1.5(HP Reputation Security Monitor (RepSM 1.5))的功能�,通過直接利用來自HPSR的數(shù)據(jù)幫助客戶抵御高級威脅。這些數(shù)據(jù)增強(qiáng)了對P2P網(wǎng)絡(luò)使用��、潛在魚叉式網(wǎng)絡(luò)釣魚和大量垃圾郵件的識別��,同時(shí)還能識別隨時(shí)間變化的攻擊模式����,如偵查掃描和異?�;顒铀?。
姚翔認(rèn)為��,惠普安全報(bào)告揭示出這樣一種趨勢:企業(yè)需要應(yīng)對越來越多來自不同層面的安全威脅����,這使得企業(yè)面對威脅越發(fā)復(fù)雜和復(fù)合,而原本針對單一威脅或傳統(tǒng)威脅的方法無法進(jìn)行有效的防御���、監(jiān)視和控制�����。
姚翔表示��,企業(yè)需要多重技術(shù)面對這些復(fù)合型的挑戰(zhàn)��,需要從“加固受攻擊面��、加強(qiáng)風(fēng)險(xiǎn)管理�����、主動保護(hù)信息”三個(gè)層面考慮安全防范的問題�,而在這三個(gè)層面��,惠普都有相應(yīng)的企業(yè)安全產(chǎn)品技術(shù)或與合作伙伴合作實(shí)現(xiàn)相關(guān)的解決方案���。
企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)正是大數(shù)據(jù)時(shí)代下的顯著特征����,這兩者之間雖然沒有直接���、顯著的因果關(guān)系����,但企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)的推動力——或者說誘因——也同時(shí)在一定程度上促進(jìn)了大數(shù)據(jù)時(shí)代的發(fā)展����。
大數(shù)據(jù)時(shí)代的助推動力,很大程度上來自于兩個(gè)方面:1��、原有數(shù)據(jù)集的不斷堆積與膨脹;2���、大量新設(shè)備接入���,也即數(shù)據(jù)源增多所導(dǎo)致的數(shù)據(jù)數(shù)量���、數(shù)據(jù)種類的激增——很明顯,后者在推動大數(shù)據(jù)發(fā)展的同時(shí)����,意味著更多的數(shù)據(jù)源、更多的數(shù)據(jù)訪問請求���,也就是更多需要安全防護(hù)的數(shù)據(jù)類型和數(shù)據(jù)系統(tǒng)����,而這自然是企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)的重要原因����。
與大數(shù)據(jù)集成是安全產(chǎn)品未來一段時(shí)間的熱點(diǎn)
姚翔表示,針對企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)�,惠普提供了一系列整合但在各個(gè)方面有所針對性的解決方案:“安全包括大數(shù)據(jù)、數(shù)據(jù)信息優(yōu)化是惠普重點(diǎn)的推廣方向���,而我們做的所有事情都是針對這三個(gè)方向來的���。第一是加固受攻擊面����,包括邊緣的網(wǎng)絡(luò)設(shè)備���、Web及整個(gè)互聯(lián)網(wǎng)所交付的部分,要加固防護(hù)�。第二是加強(qiáng)風(fēng)險(xiǎn)管理,主要是對外防護(hù)�����,而安全管理所涉及的方面是對內(nèi)對外���。以前安全也有一些比較大的安全事件跟內(nèi)部員工有很大的關(guān)系����。所以這是我們要加強(qiáng)風(fēng)險(xiǎn)管理的原因�。第三,主動防護(hù)信息�����。”
姚翔表示���,惠普安全的產(chǎn)品線隨著惠普在安全及軟件上的一些收購���,會更加充實(shí)�。
破解安全迷局:將綜合�、實(shí)時(shí)關(guān)聯(lián)與內(nèi)容分析相結(jié)合
“大數(shù)據(jù)有一個(gè)傾向是一位追求大而不追求挖掘,光有大數(shù)據(jù)而不挖掘?qū)?shù)據(jù)是沒有任何意義的�����。”姚翔認(rèn)為�����,應(yīng)用與業(yè)務(wù)分析類似的大數(shù)據(jù)理念——著重?cái)?shù)據(jù)分析甚至是實(shí)時(shí)分析——對企業(yè)的安全工作同樣大有裨益�。
姚翔認(rèn)為,尤其是在互聯(lián)網(wǎng)無處不在的時(shí)代��,企業(yè)實(shí)際上“相當(dāng)于把整個(gè)IT管理都放在了網(wǎng)絡(luò)上”���,如果企業(yè)的IT技術(shù)水平存在問題和漏洞���,“誰都可以挑戰(zhàn)你的IT管理”,這將導(dǎo)致企業(yè)的首席安全官或CIO陷入手足無措的境地:“首席安全官面臨的是黑客在不停地挑戰(zhàn)他�����,他不知道誰會攻擊他,以什么樣的技術(shù)來攻擊他��。通常首席信息官會覺得手足無措�,他不知道該做什么�����,他無法跟蹤安全最新的進(jìn)展��。”
通過對大數(shù)據(jù)——企業(yè)內(nèi)部或企業(yè)外部的——分析�,實(shí)現(xiàn)前瞻性、深層次���、可信度高的預(yù)判��,從而有的放矢的解決企業(yè)的安全漏洞和隱患被姚翔認(rèn)為將會對企業(yè)安全領(lǐng)域產(chǎn)生極大的變革性影響����,而更進(jìn)一步與云計(jì)算的結(jié)合���,則能夠?qū)⑵髽I(yè)的安全管理水平推向一場革命性的進(jìn)步���。
HP ArcSight Express 4.0 正在不斷加強(qiáng)
而惠普在這其中的核心�,就是HP ArcSight Express 4.0���,惠普方面表示�����,針對數(shù)據(jù)量大但資源有限的中型企業(yè)�,HP ArcSight Express 4.0將安全信息和事件管理(SIEM)���、日志管理和用戶活動監(jiān)控整合成為開箱即用解決方案�����,包括可連接至HP ArcSight IdentityView 和 HP RepSM的連接器�。該解決方案能以低成本高收益的方式快速簡化安全事件的收集�����、分析和管理���。
HP ArcSight Express 4.0這一集成解決方案的核心意義在于�����,通過從數(shù)百個(gè)數(shù)據(jù)源整合信息�����,從而迅速發(fā)現(xiàn)潛在安全威脅���,與此同時(shí)���,還可以可監(jiān)視安全異常的用戶和應(yīng)用活動����,如可疑行為等,姚翔表示���,HP ArcSight Express 4.0在兩個(gè)方面具有業(yè)界領(lǐng)先的優(yōu)勢:1�、使用最新的最新的CORR-Engine�����,而非傳統(tǒng)的Oracle關(guān)系型數(shù)據(jù)庫�����,而是使查詢速度提高幾十倍以上;2、信譽(yù)安全監(jiān)視器�����,基于惠普DVLabs所提供的數(shù)據(jù)���,建立“安全黑名單”����,保證企業(yè)安全�����。
但對于惠普及其安全客戶群體來說���,HP ArcSight Express 4.0只是其為“云+大數(shù)據(jù)=安全變革”所提供的核心��,其整體解決方案與融合性的安全體驗(yàn)才是其最大的競爭優(yōu)勢����,而Autonomy的加入則更帶來了顯著的變化。
惠普安全:云+大數(shù)據(jù)=安全變革
首先��,惠普將HP ArcSight的安全信息與事件管理(SIEM)功能與HP Autonomy IDOL內(nèi)容分析引擎進(jìn)行了整合�����,從而能自動識別用戶與各類數(shù)據(jù)進(jìn)行交互的環(huán)境���、概念�����、情緒和使用模式�,這一解決方案通過解讀原始安全數(shù)據(jù)的含義從而擴(kuò)大了企業(yè)安全監(jiān)視功能的覆蓋范圍���。通過對與數(shù)據(jù)相關(guān)的人力情緒(如行為模式等)進(jìn)行跟蹤和分析,企業(yè)能夠更迅速地識別之前被忽視的威脅——Autonomy一直引以為傲的語義分析能力�����,不僅在惠普存儲的內(nèi)容管理��、內(nèi)容歸檔解決方案中加以利用���,在安全領(lǐng)域同樣有了用武之地����。
據(jù)姚翔介紹,HP Autonomy能幫助企業(yè)通過數(shù)據(jù)了解內(nèi)部及外部的互動行為���,而全新的惠普ArcSight云事件收集器框架(HP ArcSight Cloud Connector Framework)則能幫助企業(yè)輕松收集云服務(wù)供應(yīng)商的應(yīng)用事件和日志數(shù)據(jù)����。云事件收集器框架基于行業(yè)標(biāo)準(zhǔn)協(xié)議�,能夠提供統(tǒng)一、實(shí)時(shí)的視圖��,以便企業(yè)了解用戶活動���,并為內(nèi)部和云應(yīng)用監(jiān)視威脅�。
其次���,惠普嘗試在安全解決方案中引入Hadoop平臺�����,在加速大數(shù)據(jù)分析的同時(shí)����,將企業(yè)多種來源的數(shù)據(jù)——結(jié)構(gòu)化的和非結(jié)構(gòu)化的——加以整合,從而形成更加完整的數(shù)據(jù)集合��,而這也正是Autonomy的優(yōu)勢所在����。
HP ArcSight/Hadoop Integration Utility為即插即用型平臺,可將HP ArcSight 6.0c與Apache™ Hadoop™進(jìn)行無縫集成��。兩種技術(shù)的結(jié)合可加速挖掘大數(shù)據(jù)存儲的流程����,從而提供一個(gè)更完整的事件視圖,并更快識別安全攻擊趨勢��。
該解決方案將HP ArcSight的報(bào)告��、搜索和關(guān)聯(lián)功能與Hadoop大型�����、集中存儲庫進(jìn)行結(jié)合�,為企業(yè)提供處理PB級信息存儲容量�����。開源的機(jī)器學(xué)習(xí)算法、統(tǒng)計(jì)分析�、異常檢查和預(yù)測分析均可用于存儲的數(shù)據(jù),以便更好地洞察并解決安全事件����。
第三,惠普推出“云CEF計(jì)劃”�����,這一計(jì)劃旨在提供面向SaaS監(jiān)視的行業(yè)標(biāo)準(zhǔn)框架�,通過基于REST的Flex接口,將HP ArcSight從本地?cái)?shù)據(jù)中心接入包括box����、Google、Salesforce��、Amazon在內(nèi)的SaaS服務(wù)提供商���,實(shí)現(xiàn)從本地到云的安全延伸�����,提高企業(yè)從本地中心到云中心的安全可見性�。
CEF計(jì)劃意味著惠普正在面向混合云規(guī)劃其安全解決方案
“目前我們很多數(shù)據(jù)中心大部分還是在一個(gè)數(shù)據(jù)中心里的IT建設(shè)為主,很多CIO給我們提了一個(gè)問題��,大家都需要云�����,如果客戶想把銷售系統(tǒng)或者是CRM系統(tǒng)放到Salesforce里面�,但又不在我的管控里,這是一個(gè)挑戰(zhàn)���,放過去以后業(yè)務(wù)可以做���,可是是不是有安全的異常發(fā)生威脅?所以惠普跟這些SaaS廠商提供了一個(gè)云CEF計(jì)劃,提供了一個(gè)標(biāo)準(zhǔn)的接口規(guī)范�����,盡管你的數(shù)據(jù)放在Salesforce上���,惠普可以提供一個(gè)接口���,以實(shí)現(xiàn)這種延伸。”姚翔表示���,這也是惠普在安全策略上的優(yōu)勢�,惠普希望“幫助用戶搭建一個(gè)從本地到云的安全全覆蓋”��。
隨著惠普將Hadoop���、實(shí)時(shí)分析����、無邊界云中心等理念加入到安全市場中來����,惠普作為全面的IT基礎(chǔ)設(shè)施提供商的優(yōu)勢正在顯現(xiàn)出來,與此同時(shí)��,惠普通過收購��,將業(yè)界成功的技術(shù)�、產(chǎn)品——如Autonomy——整合到安全產(chǎn)品線中,也進(jìn)一步提升了惠普安全的競爭實(shí)力�����。
而最值得期待的,是惠普如何將安全解決方案融合到惠普的融合基礎(chǔ)設(shè)施(CI)解決方案中���,隨著惠普將服務(wù)器��、存儲����、虛擬化�����、云架構(gòu)甚至是網(wǎng)絡(luò)融合到統(tǒng)一的惠普CI體系中�,安全,或許是惠普CI在2013年的新競爭力?
