面对海量日志和更加隐蔽的黑客攻击,企业应对安全风险需要更有效的手段。对于组织架构庞大、IT系统部署复杂的企业来说,各地分公司每天产生的日志数量繁多,且不能集中管理,安全威胁就可能淹没在上亿条安全日志里。
以中型企业或互联网公司为例,内部安全设备每天会生成海量日志。如果没有强大和高效的处理能力和响应速度,就很难发现安全威胁,智能防御更是成为一种奢谈。这样日复一日会对企业数据和财产造成巨大安全隐患,一旦遭受安全威胁,影响后果巨大。
由于国内安全运营平台(SOC)提供商多数不具备存储、分析海量安全大数据的能力,以及安全可视化的展示方式,导致现有安全运营平台(SOC)效率低下,不能及时发现安全风险,无法真正发挥全运营平台(SOC)的“安全大脑”作用。
IT168网在2013年6月进行的一次企业SOC应用状况调研数据显示,企业在使用SOC安全管理平台时遇到的主要挑战包括:无法真正发现和排查安全问题;人手不足,缺少安全运维工程师;系统维护起来十分复杂。
概况来说,市场上现有的安全运营平台(SOC)产品主要有以下问题:
1、现有安全运营平台(SOC)采用单机架构,导致数据存储量受限,但IT系统和安全设备每天都会产生大量日志。面临海量数据时,每秒数十万 EPS 的要求,不应是一台机器进行处理的。这种单机架构的弊端显而易见;
2、现有安全运营平台(SOC)缺乏大数据检索分析能力,无法对海量数据进行深度分析和挖掘,IT系统与安全设备的日志数据无法发挥应有的价值和作用;
3、现有安全运营平台(SOC)缺乏安全可视化的展示能力,无法通过对数据进行交互的可视方式,从总体上把握系统的安全状况,从而快速理解日志细节,支持决策。
4、现有安全运营平台(SOC)缺乏云端威胁情报的支撑,对IT系统与安全设备的日志中的异常行为无法及时发现,因而预警和响应就更无从谈起进行。
现实的安全挑战使现有的安全运营平台(SOC)亟待升级。安全专家预计,未来基于分布式大数据架构、威胁情报支撑的新一代安全运营平台,将会逐步取代现有的SOC产品,成为大数据安全分析时代的理想平台。 |
