今年，大數據技術在全球企業中被大規模采用，但與此同時，大數據技術的應用也給安全管理帶來新的挑戰，高達83%的企業遭受過高級持續威脅的攻擊。

面對大數據環境下企業面臨的安全問題，如何在第一時間通過SIEM平臺幫助企業做出風險決策？傳統的安全信息與事件管理（SIEM）在大數據環境下有何不足？隨著大數據應用的逐步深入，SIEM將發生新的變革，并迎來更多發展機遇。

大數據系統凸顯安全互聯價值

在今天這個大數據時代，安全架構正變得更加復雜，由此增加了企業管理的復雜度。在這樣的架構下，如果架構之間互相割裂，我們便無法在每一個單獨的系統中獲取有價值的威脅信息，從而形成報警。攻擊者由此得以不斷嘗試安全漏洞，竊取需要的信息。反之，如果有安全互聯，那么，任何一個看似不起眼的安全事件都可以跟其他不相關的事件整合在一起，形成報警。這樣一來，攻擊者無法再輕易嘗試，因為他的每一次嘗試都可能形成一個整體報警。

安全互聯平臺什么樣？邁克菲資深信息安全專家程智力表示，今天的IT環境下，企業需要對無邊界網絡進行識別。安全互聯平臺，首先是需要可視，了解網絡里有什么，需要類似于監視器和攝像頭的系統；第二是做及時的響應，面對問題要實時有效的響應；最后是持續的管理。在大數據的環境下做持續的安全管理和響應，靠人工管理會是個沉重的負擔，不過如果基于技術手段和平臺來做則會輕松很多，而做到這一點最基礎的就是安全互聯。

在整個安全互聯平臺架構中，實現可視性并實施預警是其中一個重要的基礎環節，安全信息與事件管理系統（SIEM）至關重要。傳統SIEM僅關注報告和合規，但在今天的威脅環境下，傳統的SIEM顯然力不從心。我們需要更全面地了解整個網絡的異常情況，在應用層了解數據偷竊如何發生，并對協議層和文檔層進行更多保護。在邁克菲亞太區副總裁兼首席技術官Michael Sentonas看來，將以上功能進行整合，結合威脅信息數據庫，并對終端、網絡、數據庫中的安全數據進行實時分析，這將會成為未來SIEM產品和解決方案具有革命性的創新方向。

邁克菲下一代SIEM之道

4年前，邁克菲的產品已能實現100%的集成和整合，邁克菲由此正式提出安全互聯概念。邁克菲安全互聯的總目標是將所有產品整合集成，實現在單一管理控制臺上對不同策略進行管理。安全互聯平臺的推出則是其整個安全互聯戰略中具有革命性的一步，它可將不同技術做更好的整合，做實時智能威脅信息分析，并更好地針對這些攻擊進行響應。

邁克菲安全互聯平臺(SCP)包含硬件架構層、數據/自動化層、安全管理平臺、應對措施層和數據分析層。其中，在硬件方面，邁克菲推出深度安全保護架構——Deep SAFE架構，結合母公司英特爾的主動管理技術，能實現基于硬件級別操作系統之下的安全保護。在安全互聯平臺中，邁克菲下一代SIEM Nitro系統的作用舉足輕重，如果說管理平臺是架構、底盤，那么Nitro就是發動機，是關聯所有部件最核心的部位。Nitro可把不同安全管理的系統、事件進行有效的收集整理，并進行標準化，再按照邁克菲安全專家所提出的關聯建議及企業自身安全風險情況，將其整合成比較容易理解的安全警報，即把安全威脅數據（機器語言）轉化成可以被理解的語言。

邁克菲安全互聯平臺(SCP)

與傳統SIEM相比，下一代SIEM究竟有何不同？程智力表示，邁克菲下一代SIEM的最大改變是性能。傳統SIEM并不是為大數據的安全時代所設計，其數據庫采用的有扁平的文件類型的數據，也有關系類型的數據。扁平的文件類型的數據庫，可以很快寫入，但索引能力很差，在做查詢或分析時，效率很低。關系型數據庫索引做得不錯，但讀寫速度慢。大數據時代，我們每秒鐘看到的事件是海量的，這是傳統的SIEM遠遠不能應對的。下一代SIEM有非常好的專屬數據庫，既能夠很快的讀寫數據，又能夠實現快速查詢，由此能應對大數據安全時代的特點；下一代SIEM與傳統SIEM的不同之處還在于，傳統SIEM更多是對事件進行收集，并加以呈現，很少做數據深度挖掘和關聯，而下一代SIEM能識別更多上下文信息和數據背景，傳統SIEM看到的往往是時間、地點、目標、IP地址，是枯燥的孤立的事件描述，卻沒有更多的反映出事件來自于什么用戶，沒有物理信息，也沒有描述這些事件跟互聯網上的安全事件的關聯，下一代的SIEM呈現的背景信息則包括：目標主機的操作系統及風險情況、事件操作的用戶、該用戶在進行該事件時的應用程序是什么，物理位置是什么。目前，能看到的風險多是基于某一個應用的，很少有單獨的基于操作系統的攻擊，只有識別應用才能做到更深入的分析和安全呈現。