為了應(yīng)對(duì)日益復(fù)雜的攻擊，企業(yè)開始向大數(shù)據(jù)架構(gòu)尋求依托，將其用于安全系統(tǒng)中，那么，這些方法是否足夠安全，足以讓企業(yè)安全人員高枕無憂了呢?

安全團(tuán)隊(duì)常常淹沒于海量的安全數(shù)據(jù)中而無法清楚地了解一切，現(xiàn)如今，越來越多的企業(yè)在其安全系統(tǒng)中部署了相關(guān)大數(shù)據(jù)方案。十年前，防火墻、路由器以及其他安全日志的激增催生了SIEM系統(tǒng)。不過在SIEM就位及發(fā)揮作用前，大多數(shù)企業(yè)的安全日志已無法通過現(xiàn)有工具來評(píng)估。無形中SIEM系統(tǒng)的功用被削弱。盡管IT團(tuán)隊(duì)可以將更多的數(shù)據(jù)放到其中，但數(shù)據(jù)增長(zhǎng)量相當(dāng)龐大，這也意味著能夠進(jìn)入SIEM系統(tǒng)的安全數(shù)據(jù)變得越來越少。

真相是：數(shù)據(jù)越來越大

這可以反映將大數(shù)據(jù)技術(shù)應(yīng)用到安全上的意義。最初大多數(shù)使用大數(shù)據(jù)構(gòu)建的安全系統(tǒng)具有特定意義且基于Hadoop。通過與SIEM的結(jié)合，對(duì)所有拿到的數(shù)據(jù)流進(jìn)行分析，從而協(xié)助安全團(tuán)隊(duì)成員提升整體安全態(tài)勢(shì)。

那么用于分析的這些數(shù)據(jù)如何保護(hù)呢?并沒有什么保護(hù)措施。數(shù)據(jù)只是集中到通用服務(wù)器上，作為Hadoop的一部分，沒有特別的控制措施，好像這些數(shù)據(jù)沒什么風(fēng)險(xiǎn)，也沒那么重要一樣。

但這是非常草率的做法。事實(shí)上這些收集到的數(shù)據(jù)是非常敏感的，有些則非常機(jī)密且至關(guān)重要。包括登錄數(shù)據(jù)——誰在使用什么、從哪里使用以及登錄時(shí)他們?cè)谧鍪裁吹?。而水能載舟，亦能覆舟，數(shù)據(jù)湖能顯示出人們進(jìn)入企業(yè)的方式，同樣對(duì)于惡意犯罪者而言，這樣做也變得空前容易。

大數(shù)據(jù)與安全相互成全

從這一點(diǎn)上來講，保證大數(shù)據(jù)安全以及將大數(shù)據(jù)用于提高安全性都非常重要。企業(yè)安全團(tuán)隊(duì)將數(shù)據(jù)湖和分析移至受保護(hù)的子網(wǎng)，進(jìn)一步封鎖服務(wù)器影像。這十分必要，畢竟早先的Hadoop版本并沒有將安全考慮在內(nèi)。任何人都可以提交作業(yè)、查看節(jié)點(diǎn)上存儲(chǔ)的數(shù)據(jù)或注冊(cè)系統(tǒng)服務(wù)。安全是一點(diǎn)點(diǎn)加進(jìn)來的，從審計(jì)到接入控制再到加密數(shù)據(jù)以及數(shù)據(jù)和工作的隔離，所有參數(shù)由Kerberos定義。

對(duì)大數(shù)據(jù)架構(gòu)的支持和服務(wù)以及越來越多的安全廠商不斷發(fā)現(xiàn)其問題并持續(xù)進(jìn)行修補(bǔ)、彌合差距。靜止數(shù)據(jù)的加密到2014年才符合Hadoop標(biāo)準(zhǔn)。此前，都是廠商將其作為增值功能來提供。比如，惠普和IBM等供應(yīng)商為其大數(shù)據(jù)架構(gòu)創(chuàng)建安全附件，試圖讓企業(yè)能夠更安全地使用大數(shù)據(jù)。

采用大數(shù)據(jù)架構(gòu)并將其用于安全中，企業(yè)尚有很長(zhǎng)的一段路要走。盡管大數(shù)據(jù)安全近年頗為風(fēng)生水起，無論是平臺(tái)、數(shù)據(jù)供給還是部署案例都在持續(xù)發(fā)展，但企業(yè)安全團(tuán)隊(duì)要小心保護(hù)這些分析工具，就像保護(hù)其他安全一樣。