以大數據為中心的安全系統是否已成過去式？根據2013 RSA大會上的一個安全專業會議，許多未使用安全性大數據收集系統去發現攻擊行為的組織可能已經處于落后位置。

在一次圍繞使用大數據實現更優安全監控的討論中，小組成員討論了分析大量網絡安全事件的重要性。紐約投資銀行的CISO Ramin Safai指出，他的公司每秒會有5,000次網絡事件，每天會從中捕捉25 TB數據；他的三人網絡分析團隊通常會注意其中50個問題，其中兩人驗證它們是否合法。

而在行業的最高領域，eBay的X.commerce部門信息安全官Alex Tosheff指出，他的組織在內部每秒會發現10,000個事件，每天會記錄近1 PB的事件數據，這還不包括他所支持的外部“生產”環境，即eBay.com、StubHub.com等。

所以，為了尋找重要的安全事件，許多組織部署了一些系統，專門用于捕捉最重要的數據——來自網絡、終端、數據庫、應用和身份與訪問管理系統的數據，但是這只是最簡單的部分。發現那些極少數預示潛在攻擊的事件才是最困難的工作。

Overstock.com技術副總裁Carter Lee說：“重要的是，您的分析引擎需要與所有最佳組合技術協作。”他指出，開放系統通常優于大型供應商產品，因為大廠商需要長期鎖定用戶，而且不經常為新威脅升級新補丁。

Tosheff指出，他的組織已經堅持這種模式5年時間了，而他們組合使用一些非市場銷售和自行開發的工具，這些工具使用自定義的規則集，專門用于查找數據泄漏事件。我們盡量與時俱進。這是技術競賽，過程很有難度，但這是我們一定要做的事情。

大數據2.0：使用數據發現攻擊行為

但小組成員指出，只是發現惡意事件還不夠。伯明翰咨詢公司IT-Harvest的Moderator Richard Stiennon指出，他在去年與大型防御供應商合作時首次認識到這一點。他注意到一個趨勢，他們用大數據發現和關聯一些重要攻擊指標，并將它們按行為進行分類——由已知威脅發起人發起的有規律的、多向攻擊。

Tosheff指出，他公司的電子犯罪檢測小組也具有類似的職責，它將自己的內部情報與外部信息源組合，從中發現各種惡意攻擊者，包括欺騙、黑客或數據盜竊。然后，重要結論會被記錄到一個通用詞典中，并且通過一些機制（如金融服務信息共享與分析中心(FS-ISAC)）快速共享到各個行業組中。

Datashield咨詢的CISO Praveen Money說：“跟蹤攻擊行為非常重要。如果不這樣做，那么趕緊開始。這些組合功能可以幫助您檢測和防御下一次攻擊。通過將事件進行關聯和發現通用屬性，企業就可以發現攻擊者的身份及其后續行為，從而縮短將來檢測與響應的時間。重要指標本身并沒有太多含義，但是如果將它們關聯在一起，您就可以發現一些不良情況。將它們關聯后歸納為一個攻擊行為，響應就可以取得突破性進展。”

Splunk比SIEM系統更受歡迎

有意思的是，幾乎所有小組成員都表示，他們都使用成熟的數據包捕捉與分析工具 Splunk作為他們主要的數據分析工具，而不使用昂貴的商業安全信息與事件管理(SIEM)產品。

Safai指出，即使他的組織將各種日志保存到一個SIEM中，這些數據也會再保存到Splunk中，因為沒有其他工具能夠處理這樣大的數據容量與復雜性。雖然Safai曾經與SIEM供應商溝通過，但是他們都不能夠提供與之匹配的功能：快速定位到數據集，查看特定的時間或設備，精確查找某個事件，然后再返回，用這個事件作為起點，尋找一些趨勢或類似的事件。

Safai說：“正是這個功能及其速度決定了我們的選擇。我們的SIEM做不到這一點；它很慢，需要24個小時，而Splunk只要2分鐘。”Tosheff評價Splunk說：“它與工程師想象的工作方式緊密吻合。它是一個靈活的工具。一個SIEM還無法覆蓋所有潛在的數據來源。他說：“您必須努力建立適應您自己環境的工具。您是不可能直接用錢買到這樣的工具。”

迫切需要更多的數據人才

但是，即使有最佳組合的商業工具與自定義規則集，小組成員仍然認為，還需要有訓練有素的天才數據分析人員才能分析這些異常現象和機器無法總能發現的攻擊行為。

而天才數據分析人員可能百里挑一。有一位成員在會議上指出，數據科學家是現在IT行業中最吃香的職業。Safai說，由大學合作培養的學生負責分析數據，放棄一些實際工作經驗，可以在一定程度上緩解這個問題。

Money說：“從我的經驗看，您可以在工程社區發現一些天才數據分析人員。”他指出，他的公司將一些IT人員指派到各種不同的職位上，讓他們有機會參與數據分析工具，然后為他們提供各種行業會議的差旅費作為獎勵。

Lee說：“如果您認識18歲的孩子，那么把X-Box游戲機控制器從他們手中拿走，然后告訴他們好好學習進入這個前途無量的領域。”這可能最能夠反映整個行業對數據分析天才的缺乏。