黑白之战——他只需成功一次 你却需成功每一次

很少有群体能像“黑客”这样，广为人知又自带神秘。互联网技术飞速发展，给人们生活和工作带来了日新月异的变化，但其背后隐晦复杂的网络世界，可谓风云诡谲。然而在利益的岔路口，另一个群体同样拥有高超的技术，他们却选择利用自己的专业技术，维护着企业信息安全，他们，就是企业中的安全管理人员。

与黑客相比，他们往往面临着“不平等”的“待遇”：黑客只需要成功一次，但安全管理人员却需要成功每一次，不过幸好背后有一群安全厂商在“力挺”，使得安全管理人员可以借助多样的安全设备，在面对黑客时不再束手无策。在长时间的“黑白”对抗中，攻击手段在不断演进，企业安全架构也随之不断调整，为每一次的成功立下汗马功劳。

传统安全“老三样”力不从心

在最初的网络安全架构中，防火墙作为第一道关口，负责控制内外网络访问，IDS对通过防火墙的数据进一步检查，发现其中的攻击行为则报警响应，若攻击者逃避了IDS的检测，则直接由应急响应与灾难恢复模块处理。

从理论上讲，这种防御机制的逻辑是没有问题的，通过风险评估与控制形成防御，当防御措施失效时，检测机制将发现存在的攻击行为，报警后由响应机制进行具体安全措施。这在信息安全建设之初，起到了功不可没的作用。

但随着攻击门槛的降低，问题也接踵而来——用户虽然安装了防火墙，还是避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。与此同时，单个入侵检测在提前预警方面也存在先天的不足，且精确定位和全局管理方面还有很大空间。

我们仅从2016年上半年安全事件的粗略统计中就不难发现问题的严重性：时代华纳疑似被黑，30多万客户数据泄漏、凯悦连锁酒店超过50%遭安全入侵、苹果App Store逾千应用存漏洞、超3200万Twitter账户密码泄漏、MySpace出现史上最大规模数据泄漏。可以说，传统的依赖厂商分析样本再给出规则或特征码的方式逐渐过时。但是这组数据也可以看出，整个行业对安全的巨大需求，我们根据来自Gartner的一组最新统计：2016年全球信息安全产品和服务的开支将达到816亿美元，相比2015年增长7.9%。

大数据技术打破信息安全僵局

在漫长的对抗过程中，安全管理人员发现了日志的有效分析尤为重要，因为绝大多数的安全事件都可以回溯到安全日志。通过定期分析由整个网络中的各种应用程序和设备收集到的海量日志数据有助于找出和诊断故障，甚至还有可能发现正在进行中的攻击。

SIEM/SOC类产品开始登上舞台，其为来自企业和组织中所有IT资源（包括网络、系统和应用）产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析，从而提升企业和组织的安全运营、威胁管理和应急响应能力。

“防护性安全仍将呈现强劲增幅，因为很多安全从业人员还是偏好在预防措施方面多加采购，像安全信息和事件管理（SIEM）以及安全Web网关 （SWG）这样的解决方案都将发展到能够支持检测和响应方法。”Gartner还预测：由于企业机构仍然专注于检测和响应，SWG市场到2020前都将保持 5%-10%的增幅。

但随着数据量的激升，构建在数据库和架构基础之上的SIEM，在处理大量事件、历史记录数据和关系数据扩展的能力方面开始存在固有的局限性，另外，传统SIEM系统的分析能力也有所欠缺。许多企业不得不关闭重要但非主要的分析功能，然后再耗费数小时的等待才能生成一份报告，这让企业很难接受。

就在企业信息安全再度陷入僵局的时候，大数据技术开始蹿红，使得分析蕴藏攻击痕迹的海量安全日志成为可能。以此为依托，国内外均开展了大量的大数据安全领域研究，并且出现相对成熟的解决方案，如HanSight的大数据分析平台，对企业内部所有机器产生的数据进行采集、存储、搜索、关联、分析、可视化展现、告警和产生报告。

建立全新的安全防御机制

在这种模式的引导下，信息安全技术架构与战略迎来了新的转型期，人们开始设想将所有的安全机制融合，形成层次渐进的全新安全防御机制，Gartner指出：要“为企业安全智能的兴起做好准备”。

在这份报告中，Gartner提出了安全智能的概念，强调必须将过去分散的安全信息进行集成与关联，独立的分析方法和工具进行整合形成交互，从而实现智能化的安全分析与决策。而信息的集成、技术的整合必然导致安全要素信息的迅猛增长，智能的分析必然要求将机器学习、数据挖据等技术应用于安全分析，并且要更快更好地的进行安全决策。

HanSight深谙此道，其下一代大数据安全分析平台通过对大量的历史日志信息进行机器学习与算法分析，侦测出异常行为模式和隐藏的威胁。并且通过过滤和分析大而复杂的数据集，可以洞彻最新的安全威胁的变化。同时，系统创建出多层次的仪表盘和报告，使决策层、管理层和一线运维人员从不同的视角来监控最新的安全态势并不断从中学习和改进。另外，HanSight还彻底解决了让人头疼的数据管理问题。通过为基于时间戳的非结构化数据特别设计的列式数据库，能够为分析模块提供实时或者长期的关联分析能力。

基于此，企业最终实现了从单一事件响应向整体安全态势转变；从依赖厂商告警向主动智能分析转变；从以工具为中心向以人和协作为中心转变；从人工值守向7*24自动安全响应转变；从单一事件分析向模式和趋势分析转变，并为领导层进行安全战略决策提供依据。总之归为一句就是：变被动防御为主动防御。

当然我们并不能因此而放松警惕，安全领域没有绝对安全的解决方案，管理上的短视也是目前IT信息安全较为严重的隐忧，提高IT部门对信息安全的认识也是企业IT信息安全最不应该忽视的地方。企业IT部门不但自己要提高安全意识，还要不断推进企业全体成员的IT信息安全意识建设。