姚翔引用美國(guó)工程師鮑勃的故事(詳情可以微博搜索下)表示,企業(yè)的安全防范需要強(qiáng)大的數(shù)據(jù)分析支撐,僅靠經(jīng)驗(yàn)和人力遠(yuǎn)遠(yuǎn)不夠。
大數(shù)據(jù)時(shí)代:企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)
《惠普2012年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告》顯示�����,全球風(fēng)險(xiǎn)泄露數(shù)量從2011年的6844增至2012年的8137��,上升19%;移動(dòng)漏洞比例迅速增加���,從2011年的158個(gè)增至2012年的266個(gè)��,增幅達(dá)68%���,同時(shí),2012年有48%的被測(cè)試移動(dòng)應(yīng)用允許未授權(quán)的訪問(wèn);SCADA系統(tǒng)內(nèi)的漏洞則從2008年的22個(gè)增至2012年的191個(gè)�,激增768%。
針對(duì)漏洞激增的趨勢(shì)����,惠普增強(qiáng)了惠普信譽(yù)安全監(jiān)視器1.5(HP Reputation Security Monitor (RepSM 1.5))的功能,通過(guò)直接利用來(lái)自HPSR的數(shù)據(jù)幫助客戶抵御高級(jí)威脅�����。這些數(shù)據(jù)增強(qiáng)了對(duì)P2P網(wǎng)絡(luò)使用���、潛在魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和大量垃圾郵件的識(shí)別��,同時(shí)還能識(shí)別隨時(shí)間變化的攻擊模式��,如偵查掃描和異?�;顒?dòng)水平�����。
姚翔認(rèn)為�����,惠普安全報(bào)告揭示出這樣一種趨勢(shì):企業(yè)需要應(yīng)對(duì)越來(lái)越多來(lái)自不同層面的安全威脅��,這使得企業(yè)面對(duì)威脅越發(fā)復(fù)雜和復(fù)合����,而原本針對(duì)單一威脅或傳統(tǒng)威脅的方法無(wú)法進(jìn)行有效的防御、監(jiān)視和控制��。
姚翔表示����,企業(yè)需要多重技術(shù)面對(duì)這些復(fù)合型的挑戰(zhàn)�,需要從“加固受攻擊面、加強(qiáng)風(fēng)險(xiǎn)管理��、主動(dòng)保護(hù)信息”三個(gè)層面考慮安全防范的問(wèn)題�����,而在這三個(gè)層面,惠普都有相應(yīng)的企業(yè)安全產(chǎn)品技術(shù)或與合作伙伴合作實(shí)現(xiàn)相關(guān)的解決方案�����。
企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)正是大數(shù)據(jù)時(shí)代下的顯著特征����,這兩者之間雖然沒(méi)有直接、顯著的因果關(guān)系���,但企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)的推動(dòng)力——或者說(shuō)誘因——也同時(shí)在一定程度上促進(jìn)了大數(shù)據(jù)時(shí)代的發(fā)展�����。
大數(shù)據(jù)時(shí)代的助推動(dòng)力�����,很大程度上來(lái)自于兩個(gè)方面:1���、原有數(shù)據(jù)集的不斷堆積與膨脹;2、大量新設(shè)備接入��,也即數(shù)據(jù)源增多所導(dǎo)致的數(shù)據(jù)數(shù)量、數(shù)據(jù)種類(lèi)的激增——很明顯�����,后者在推動(dòng)大數(shù)據(jù)發(fā)展的同時(shí)���,意味著更多的數(shù)據(jù)源���、更多的數(shù)據(jù)訪問(wèn)請(qǐng)求,也就是更多需要安全防護(hù)的數(shù)據(jù)類(lèi)型和數(shù)據(jù)系統(tǒng)�,而這自然是企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn)的重要原因。
與大數(shù)據(jù)集成是安全產(chǎn)品未來(lái)一段時(shí)間的熱點(diǎn)
姚翔表示����,針對(duì)企業(yè)面臨復(fù)合型安全風(fēng)險(xiǎn),惠普提供了一系列整合但在各個(gè)方面有所針對(duì)性的解決方案:“安全包括大數(shù)據(jù)����、數(shù)據(jù)信息優(yōu)化是惠普重點(diǎn)的推廣方向,而我們做的所有事情都是針對(duì)這三個(gè)方向來(lái)的����。第一是加固受攻擊面�,包括邊緣的網(wǎng)絡(luò)設(shè)備����、Web及整個(gè)互聯(lián)網(wǎng)所交付的部分����,要加固防護(hù)。第二是加強(qiáng)風(fēng)險(xiǎn)管理�,主要是對(duì)外防護(hù),而安全管理所涉及的方面是對(duì)內(nèi)對(duì)外�����。以前安全也有一些比較大的安全事件跟內(nèi)部員工有很大的關(guān)系�。所以這是我們要加強(qiáng)風(fēng)險(xiǎn)管理的原因。第三����,主動(dòng)防護(hù)信息。”
姚翔表示��,惠普安全的產(chǎn)品線隨著惠普在安全及軟件上的一些收購(gòu)�����,會(huì)更加充實(shí)�����。
破解安全迷局:將綜合、實(shí)時(shí)關(guān)聯(lián)與內(nèi)容分析相結(jié)合
“大數(shù)據(jù)有一個(gè)傾向是一位追求大而不追求挖掘��,光有大數(shù)據(jù)而不挖掘?qū)?shù)據(jù)是沒(méi)有任何意義的����。”姚翔認(rèn)為,應(yīng)用與業(yè)務(wù)分析類(lèi)似的大數(shù)據(jù)理念——著重?cái)?shù)據(jù)分析甚至是實(shí)時(shí)分析——對(duì)企業(yè)的安全工作同樣大有裨益����。
姚翔認(rèn)為,尤其是在互聯(lián)網(wǎng)無(wú)處不在的時(shí)代�����,企業(yè)實(shí)際上“相當(dāng)于把整個(gè)IT管理都放在了網(wǎng)絡(luò)上”��,如果企業(yè)的IT技術(shù)水平存在問(wèn)題和漏洞��,“誰(shuí)都可以挑戰(zhàn)你的IT管理”���,這將導(dǎo)致企業(yè)的首席安全官或CIO陷入手足無(wú)措的境地:“首席安全官面臨的是黑客在不停地挑戰(zhàn)他��,他不知道誰(shuí)會(huì)攻擊他�����,以什么樣的技術(shù)來(lái)攻擊他���。通常首席信息官會(huì)覺(jué)得手足無(wú)措,他不知道該做什么���,他無(wú)法跟蹤安全最新的進(jìn)展�����。”
通過(guò)對(duì)大數(shù)據(jù)——企業(yè)內(nèi)部或企業(yè)外部的——分析����,實(shí)現(xiàn)前瞻性�、深層次、可信度高的預(yù)判���,從而有的放矢的解決企業(yè)的安全漏洞和隱患被姚翔認(rèn)為將會(huì)對(duì)企業(yè)安全領(lǐng)域產(chǎn)生極大的變革性影響���,而更進(jìn)一步與云計(jì)算的結(jié)合,則能夠?qū)⑵髽I(yè)的安全管理水平推向一場(chǎng)革命性的進(jìn)步。
HP ArcSight Express 4.0 正在不斷加強(qiáng)
而惠普在這其中的核心����,就是HP ArcSight Express 4.0,惠普方面表示�����,針對(duì)數(shù)據(jù)量大但資源有限的中型企業(yè)��,HP ArcSight Express 4.0將安全信息和事件管理(SIEM)���、日志管理和用戶活動(dòng)監(jiān)控整合成為開(kāi)箱即用解決方案�����,包括可連接至HP ArcSight IdentityView 和 HP RepSM的連接器��。該解決方案能以低成本高收益的方式快速簡(jiǎn)化安全事件的收集����、分析和管理��。
HP ArcSight Express 4.0這一集成解決方案的核心意義在于�����,通過(guò)從數(shù)百個(gè)數(shù)據(jù)源整合信息,從而迅速發(fā)現(xiàn)潛在安全威脅��,與此同時(shí)���,還可以可監(jiān)視安全異常的用戶和應(yīng)用活動(dòng),如可疑行為等�,姚翔表示,HP ArcSight Express 4.0在兩個(gè)方面具有業(yè)界領(lǐng)先的優(yōu)勢(shì):1�、使用最新的最新的CORR-Engine,而非傳統(tǒng)的Oracle關(guān)系型數(shù)據(jù)庫(kù)�����,而是使查詢速度提高幾十倍以上;2���、信譽(yù)安全監(jiān)視器���,基于惠普DVLabs所提供的數(shù)據(jù),建立“安全黑名單”����,保證企業(yè)安全。
但對(duì)于惠普及其安全客戶群體來(lái)說(shuō),HP ArcSight Express 4.0只是其為“云+大數(shù)據(jù)=安全變革”所提供的核心�����,其整體解決方案與融合性的安全體驗(yàn)才是其最大的競(jìng)爭(zhēng)優(yōu)勢(shì)��,而Autonomy的加入則更帶來(lái)了顯著的變化���。
惠普安全:云+大數(shù)據(jù)=安全變革
首先�,惠普將HP ArcSight的安全信息與事件管理(SIEM)功能與HP Autonomy IDOL內(nèi)容分析引擎進(jìn)行了整合���,從而能自動(dòng)識(shí)別用戶與各類(lèi)數(shù)據(jù)進(jìn)行交互的環(huán)境��、概念����、情緒和使用模式���,這一解決方案通過(guò)解讀原始安全數(shù)據(jù)的含義從而擴(kuò)大了企業(yè)安全監(jiān)視功能的覆蓋范圍���。通過(guò)對(duì)與數(shù)據(jù)相關(guān)的人力情緒(如行為模式等)進(jìn)行跟蹤和分析,企業(yè)能夠更迅速地識(shí)別之前被忽視的威脅——Autonomy一直引以為傲的語(yǔ)義分析能力����,不僅在惠普存儲(chǔ)的內(nèi)容管理�����、內(nèi)容歸檔解決方案中加以利用�����,在安全領(lǐng)域同樣有了用武之地。
據(jù)姚翔介紹���,HP Autonomy能幫助企業(yè)通過(guò)數(shù)據(jù)了解內(nèi)部及外部的互動(dòng)行為����,而全新的惠普ArcSight云事件收集器框架(HP ArcSight Cloud Connector Framework)則能幫助企業(yè)輕松收集云服務(wù)供應(yīng)商的應(yīng)用事件和日志數(shù)據(jù)�。云事件收集器框架基于行業(yè)標(biāo)準(zhǔn)協(xié)議,能夠提供統(tǒng)一�����、實(shí)時(shí)的視圖����,以便企業(yè)了解用戶活動(dòng)����,并為內(nèi)部和云應(yīng)用監(jiān)視威脅��。
其次���,惠普嘗試在安全解決方案中引入Hadoop平臺(tái)�,在加速大數(shù)據(jù)分析的同時(shí)�,將企業(yè)多種來(lái)源的數(shù)據(jù)——結(jié)構(gòu)化的和非結(jié)構(gòu)化的——加以整合,從而形成更加完整的數(shù)據(jù)集合���,而這也正是Autonomy的優(yōu)勢(shì)所在�����。
HP ArcSight/Hadoop Integration Utility為即插即用型平臺(tái)�,可將HP ArcSight 6.0c與Apache™ Hadoop™進(jìn)行無(wú)縫集成�����。兩種技術(shù)的結(jié)合可加速挖掘大數(shù)據(jù)存儲(chǔ)的流程�����,從而提供一個(gè)更完整的事件視圖,并更快識(shí)別安全攻擊趨勢(shì)�。
該解決方案將HP ArcSight的報(bào)告、搜索和關(guān)聯(lián)功能與Hadoop大型���、集中存儲(chǔ)庫(kù)進(jìn)行結(jié)合����,為企業(yè)提供處理PB級(jí)信息存儲(chǔ)容量����。開(kāi)源的機(jī)器學(xué)習(xí)算法、統(tǒng)計(jì)分析�、異常檢查和預(yù)測(cè)分析均可用于存儲(chǔ)的數(shù)據(jù)����,以便更好地洞察并解決安全事件。
第三���,惠普推出“云CEF計(jì)劃”���,這一計(jì)劃旨在提供面向SaaS監(jiān)視的行業(yè)標(biāo)準(zhǔn)框架,通過(guò)基于REST的Flex接口�����,將HP ArcSight從本地?cái)?shù)據(jù)中心接入包括box、Google��、Salesforce��、Amazon在內(nèi)的SaaS服務(wù)提供商�����,實(shí)現(xiàn)從本地到云的安全延伸����,提高企業(yè)從本地中心到云中心的安全可見(jiàn)性。
CEF計(jì)劃意味著惠普正在面向混合云規(guī)劃其安全解決方案
“目前我們很多數(shù)據(jù)中心大部分還是在一個(gè)數(shù)據(jù)中心里的IT建設(shè)為主��,很多CIO給我們提了一個(gè)問(wèn)題�,大家都需要云,如果客戶想把銷(xiāo)售系統(tǒng)或者是CRM系統(tǒng)放到Salesforce里面���,但又不在我的管控里���,這是一個(gè)挑戰(zhàn),放過(guò)去以后業(yè)務(wù)可以做�����,可是是不是有安全的異常發(fā)生威脅?所以惠普跟這些SaaS廠商提供了一個(gè)云CEF計(jì)劃,提供了一個(gè)標(biāo)準(zhǔn)的接口規(guī)范�,盡管你的數(shù)據(jù)放在Salesforce上,惠普可以提供一個(gè)接口���,以實(shí)現(xiàn)這種延伸����。”姚翔表示�,這也是惠普在安全策略上的優(yōu)勢(shì),惠普希望“幫助用戶搭建一個(gè)從本地到云的安全全覆蓋”�。
隨著惠普將Hadoop、實(shí)時(shí)分析����、無(wú)邊界云中心等理念加入到安全市場(chǎng)中來(lái)����,惠普作為全面的IT基礎(chǔ)設(shè)施提供商的優(yōu)勢(shì)正在顯現(xiàn)出來(lái),與此同時(shí)����,惠普通過(guò)收購(gòu)�,將業(yè)界成功的技術(shù)�、產(chǎn)品——如Autonomy——整合到安全產(chǎn)品線中,也進(jìn)一步提升了惠普安全的競(jìng)爭(zhēng)實(shí)力����。
而最值得期待的,是惠普如何將安全解決方案融合到惠普的融合基礎(chǔ)設(shè)施(CI)解決方案中����,隨著惠普將服務(wù)器、存儲(chǔ)��、虛擬化�����、云架構(gòu)甚至是網(wǎng)絡(luò)融合到統(tǒng)一的惠普CI體系中�,安全,或許是惠普CI在2013年的新競(jìng)爭(zhēng)力?
