目前,安全分析市场正在快速转变:供应商在合并,开发人员在添加新功能,同时,曾经完全部署在本地的工具现在开始作为云服务提供。然而,面对这么迅速的变化,企业对安全分析的要求仍然基本保持不变,例如分析日志、关联事件和生成警报的能力。自此,我们将看看市面上的主要安全分析产品,并提供建议以帮助企业更好地选择满足需求的合适产品。
当前并没有涵盖所有要求的单一安全分析用例分类,但常见需求模式包括:
• 只有最小开支的基本安全分析
• 大型企业用例
• 专注于高级持续性威胁
• 专注于取证
• 安全工具和服务组合
这些分类强调了对关键安全分析特性的不同需求,这些特性包括部署模式、模块化、分析的范围和深度、取证、监控、报告和可视化等。本文中评估了很多产品,包括Blue Coat Security Analytics Platform、Lancope Stealth Watch System、瞻博网络JSA Series Secure Analytics、EMC RSA Security Analytics NetWitness、FireEye威胁分析平台、Arbor Networks Security Analytics、Click Security Click Commander和Sumo Logic的云服务。
只有最小开支的基本安全分析
中小企业往往是吸引攻击者的目标,虽然他们可能没有较大型企业那么多宝贵的数据,但他们通常更容易攻击。同时,受行业法规(例如支付卡行业数据安全标准PCI DSS和健康保险携带与责任法案HIPAA)监管的企业必须部署安全控制来保护个人身份信息,在HIPAA的情况下,这意味着需要保护健康信息。对于中小企业,安全分析工具可以帮助缓解数据泄露和其他攻击的风险,另外,这些工具应该满足几个标准来适应中小企业的需求。
例如,部署模式应该最大限度地减少管理开销。设备和云服务通常符合这些标准,而虚拟机部署可能也提供低开销的部署。
Sumo Logic公司的云服务就是针对中小型企业的服务。这个日志分析服务提供单点管理仪表板,用于监控应用程序、服务器和网络资源。由于它是云服务,因此并不需要安装和维护硬件或软件。该服务还包括预先定义的报告,这意味着它很适合需要生成合规性报告的企业,特别是针对PCI DSS、HIPAA、联邦信息安全管理法案(FISMA)、萨班斯-奥克斯利法案(SOX)、ISO和COBIT等要求。与此同时,该服务还利用机器学习算法进行事件检测,从而省去了手动起草规则的需要。并且,在管理仪表板中还会追踪多维关键绩效指标(KPI)。
与其他云服务一样,Sumo Logic云服务定价是基于用户的数量和分析的数据量。
而对于想要在内部部署安全分析软件的中小型企业,则应该考虑Blue Coat Security Analytics Platform,该平台可作为虚拟机或者预先配置的设备。Blue Coat的平台的模块化结构允许客户选择他们需要的组件,这些组件做为模块交付,被称为刀片。
大型企业用例
在另一方面是大型企业,这些企业需要考虑安全分析平台的可扩展性、分析的深度和范围、取证以及监控功能。虽然低管理开销也很重要,但这是次要的考虑因素,首要考虑因素应该是全面的高性能的分析。
瞻博网络JSA Series Secure Analytics提供多种型号,可满足各种企业的需求。例如,JSA 5800设备专门针对中型和大型企业,而JSA 7500则适合全球性企业。对于期望大幅度增长的较小型企业,可以先选择JSA 3800或者JSA Virtual Appliance,在未来再选择较大的设备。如果企业选择该虚拟设备,则需要运行VMware ESX 5.0或5.1、4 CPU和12GB RAM的服务器。
EMC RSA Security Analytics NetWitness平台包含两组模块:一组提供基础设施支持,而另一组提供分析服务。这两组模块按照不同配置来部署,以满足不同的流量水平和分析要求。
RSA安全分析编码器是其中一个基础设施组件,该编码器是一款网络设备,用于实时收集数据包和日志数据。它支持广泛的日志类型,在网络中可部署多个解码器以确保可扩展性和可用性。另一个基础设施组件的RSA安全分析集中器,它负责聚合来自编码器的数据。另外,安全分析师和管理员可使用RSA安全分析经纪人/分析服务器来查询解码器收集的数据以及集中器汇总的数据。
这个RSA Security Analytics分布式平台非常适合大型网络,因为随着网络流量或日志卷的增长,企业可以添加基础设施组件进行扩展。然而,与其他分布式系统一样,它可能更加难以管理和配置。因此,企业需要计划投资足够的系统管理支持来监控和维护该安全分析平台。
该RSA平台的分析组件提供对网络、日志和端点数据的实时分析用于检测事件。还有归档器用于存储和报告收集的安全数据。
专注于高级持续性威胁
企业规模只是安全分析用例分类其中一个维度。有时候更合适的分类是考虑企业希望使用的最重要的功能。例如,如果企业已经有良好的端点保护和数据收集功能,企业可能希望将重点放在高级持续威胁。而对于这个用例,企业需要的是专注分析范围和深度以及支持取证的安全分析产品。
Arbor Pravail Security Analytics采用多种技术来实时检测高级威胁。这个安全分析平台使用全包捕捉来收集大量原始数据,从而帮助识别针对企业的多种攻击源。同时,该平台会存储网络流量数据,并在新数据进入后重新分析流量数据。例如,如果该供应商的情报监视发现新类型的威胁,他们会开发和部署新的检测技术,这些技术随后可以分析旧数据来确定是否存在攻击。
有些攻击者会先攻击网络,然后在数周内停止活动。这种攻击模式可能很受攻击者的青睐,因为在某些情况下,这种攻击活动更加难以检测,它不会像持续攻击那样生成可识别的攻击模式。通过保存历史流量数据以及扫描这些数据查找先前的攻击痕迹,企业可以更好地应对采用这种攻击模式的攻击者。
除了分析历史数据,分析流量也是发现高级持续威胁的重要手段。Lancope Stealthe Watch System使用有关网络事件的流量记录来检测高级攻击的不同阶段。该Lancope系统包含一个数据聚集器,它会整合不同数据到单个可分析的网络和数据事件数据源。另外,在高级攻击的过程中,控制台还会提供有关重要事件的最新数据和警报。
另外,Click Security公司的Click Commander很适合分析恶意攻击者的行为、分析不同攻击阶段的活动以及发布警报和其他自定义通知。该工具还包含可视化工具,可用于创建活动图表,同时提供攻击者配置文件和情境数据以分析图表中描述的事件。
专注于取证
目前,专注于高级持续威胁和专注于取证的用例中存在一些重叠。Arbor Pravail Security Analytics和Lancope Stealth Watch System都非常适合以取证为主的用例,而其他可收集和整合数据以及提供全面查询及分析功能的系统也可以满足取证支持的需求。
Blue Coat Security Analytics platform整合了很多安全工具,包括防火墙、数据丢失防护、入侵检测系统/入侵防御系统和恶意软件扫描器等。它还整合了数据生成或数据传输设备及工具,例如来自戴尔、惠普、McAfee、Palo Alto Networks和Splunk的产品。
安全工具和服务组合
对于需要整合安全控制与新安全分析平台的企业而言,最好的产品应该是可以允许他们部署可弥补其安全系统中功能差距的产品。在这种情况下,提供模块化功能的供应商是不错的选择。
例如,Blue Coat Security Analytics Platform允许客户根据需要集成不同模块或刀片。该平台提供多种部署方法(包括设备和虚拟机),让客户可以部署提供合适功能和可扩展水平的安全分析工具。
如果安全分析报告是首要考虑因素的话,则应该考虑Sumo Logic的预先定义合规报告是否能满足你的需求。而对于需要长期保存其安全数据的企业,则可以考虑EMC RSA Security Analytics NetWitness。
结论
安全分析工具解决了常见问题:如何使用企业基础设施中的可用数据来发现威胁和攻击、分析攻击方法以及在发现攻击时提醒系统管理员和应用所有者。任何规模的企业都是潜在的攻击目标。
小型企业可能认为他们不会受到老练的黑客的攻击,但事实并不是这样。他们可能拥有高价值的客户,例如全球2000强企业、大型政府机构等,而这些都是攻击者的最终目标。对于大型或小型企业而言,安全分析并不是第一道防线,但它是越来越重要的防御措施。
对于需要负责推荐、评估和购买安全分析平台的IT专业人员,他们需要基于现有安全控制和应用仔细评估其需求。但如果企业已经部署了工具来满足一些安全和分析要求,他们可能不会想花更多钱来获得重复的功能。另一方面,如果说有个IT领域允许冗余功能存在的话,那肯定是安全领域。
安全分析提供了各种各样的功能。有些产品(例如Sumo Logic的基于云的服务)专门针对中小型企业,为他们提供广泛的安全功能,而只需要很少的开销。
而对于大型企业,则应该考虑可处理大量流量以及可从全国或全球网络收集数据的系统。瞻博网络和EMC RSA的产品就属于这一类。
此外,对于重视高级持续威胁检测和取证的企业,提供网络流量实时分析的工具是不错的选择。有些供应商在其安全分析平台中提供模块化组件,这些可能非常适合用于填补安全功能中的空白区。 |
