安全分析工具可以收集、篩選、整合以及關(guān)聯(lián)各種類(lèi)型的安全事件數(shù)據(jù)，用于獲取更全面地了解企業(yè)基礎(chǔ)設(shè)施安全性。任何擁有大量設(shè)備(從臺(tái)式機(jī)到移動(dòng)設(shè)備到服務(wù)器和路由器等)的企業(yè)都可以受益于安全性分析。

目前，安全分析市場(chǎng)正在快速轉(zhuǎn)變：供應(yīng)商在合并，開(kāi)發(fā)人員在添加新功能，同時(shí)，曾經(jīng)完全部署在本地的工具現(xiàn)在開(kāi)始作為云服務(wù)提供。然而，面對(duì)這么迅速的變化，企業(yè)對(duì)安全分析的要求仍然基本保持不變，例如分析日志、關(guān)聯(lián)事件和生成警報(bào)的能力。自此，我們將看看市面上的主要安全分析產(chǎn)品，并提供建議以幫助企業(yè)更好地選擇滿(mǎn)足需求的合適產(chǎn)品。

當(dāng)前并沒(méi)有涵蓋所有要求的單一安全分析用例分類(lèi)，但常見(jiàn)需求模式包括：

• 只有最小開(kāi)支的基本安全分析

• 大型企業(yè)用例

• 專(zhuān)注于高級(jí)持續(xù)性威脅

• 專(zhuān)注于取證

• 安全工具和服務(wù)組合

這些分類(lèi)強(qiáng)調(diào)了對(duì)關(guān)鍵安全分析特性的不同需求，這些特性包括部署模式、模塊化、分析的范圍和深度、取證、監(jiān)控、報(bào)告和可視化等。本文中評(píng)估了很多產(chǎn)品，包括Blue Coat Security Analytics Platform、Lancope Stealth Watch System、瞻博網(wǎng)絡(luò)JSA Series Secure Analytics、EMC RSA Security Analytics NetWitness、FireEye威脅分析平臺(tái)、Arbor Networks Security Analytics、Click Security Click Commander和Sumo Logic的云服務(wù)。

只有最小開(kāi)支的基本安全分析

中小企業(yè)往往是吸引攻擊者的目標(biāo)，雖然他們可能沒(méi)有較大型企業(yè)那么多寶貴的數(shù)據(jù)，但他們通常更容易攻擊。同時(shí)，受行業(yè)法規(guī)(例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI DSS和健康保險(xiǎn)攜帶與責(zé)任法案HIPAA)監(jiān)管的企業(yè)必須部署安全控制來(lái)保護(hù)個(gè)人身份信息，在HIPAA的情況下，這意味著需要保護(hù)健康信息。對(duì)于中小企業(yè)，安全分析工具可以幫助緩解數(shù)據(jù)泄露和其他攻擊的風(fēng)險(xiǎn)，另外，這些工具應(yīng)該滿(mǎn)足幾個(gè)標(biāo)準(zhǔn)來(lái)適應(yīng)中小企業(yè)的需求。

例如，部署模式應(yīng)該最大限度地減少管理開(kāi)銷(xiāo)。設(shè)備和云服務(wù)通常符合這些標(biāo)準(zhǔn)，而虛擬機(jī)部署可能也提供低開(kāi)銷(xiāo)的部署。

Sumo Logic公司的云服務(wù)就是針對(duì)中小型企業(yè)的服務(wù)。這個(gè)日志分析服務(wù)提供單點(diǎn)管理儀表板，用于監(jiān)控應(yīng)用程序、服務(wù)器和網(wǎng)絡(luò)資源。由于它是云服務(wù)，因此并不需要安裝和維護(hù)硬件或軟件。該服務(wù)還包括預(yù)先定義的報(bào)告，這意味著它很適合需要生成合規(guī)性報(bào)告的企業(yè)，特別是針對(duì)PCI DSS、HIPAA、聯(lián)邦信息安全管理法案(FISMA)、薩班斯-奧克斯利法案(SOX)、ISO和COBIT等要求。與此同時(shí)，該服務(wù)還利用機(jī)器學(xué)習(xí)算法進(jìn)行事件檢測(cè)，從而省去了手動(dòng)起草規(guī)則的需要。并且，在管理儀表板中還會(huì)追蹤多維關(guān)鍵績(jī)效指標(biāo)(KPI)。

與其他云服務(wù)一樣，Sumo Logic云服務(wù)定價(jià)是基于用戶(hù)的數(shù)量和分析的數(shù)據(jù)量。

而對(duì)于想要在內(nèi)部部署安全分析軟件的中小型企業(yè)，則應(yīng)該考慮Blue Coat Security Analytics Platform，該平臺(tái)可作為虛擬機(jī)或者預(yù)先配置的設(shè)備。Blue Coat的平臺(tái)的模塊化結(jié)構(gòu)允許客戶(hù)選擇他們需要的組件，這些組件做為模塊交付，被稱(chēng)為刀片。

大型企業(yè)用例

在另一方面是大型企業(yè)，這些企業(yè)需要考慮安全分析平臺(tái)的可擴(kuò)展性、分析的深度和范圍、取證以及監(jiān)控功能。雖然低管理開(kāi)銷(xiāo)也很重要，但這是次要的考慮因素，首要考慮因素應(yīng)該是全面的高性能的分析。

瞻博網(wǎng)絡(luò)JSA Series Secure Analytics提供多種型號(hào)，可滿(mǎn)足各種企業(yè)的需求。例如，JSA 5800設(shè)備專(zhuān)門(mén)針對(duì)中型和大型企業(yè)，而JSA 7500則適合全球性企業(yè)。對(duì)于期望大幅度增長(zhǎng)的較小型企業(yè)，可以先選擇JSA 3800或者JSA Virtual Appliance，在未來(lái)再選擇較大的設(shè)備。如果企業(yè)選擇該虛擬設(shè)備，則需要運(yùn)行VMware ESX 5.0或5.1、4 CPU和12GB RAM的服務(wù)器。

EMC RSA Security Analytics NetWitness平臺(tái)包含兩組模塊：一組提供基礎(chǔ)設(shè)施支持，而另一組提供分析服務(wù)。這兩組模塊按照不同配置來(lái)部署，以滿(mǎn)足不同的流量水平和分析要求。

RSA安全分析編碼器是其中一個(gè)基礎(chǔ)設(shè)施組件，該編碼器是一款網(wǎng)絡(luò)設(shè)備，用于實(shí)時(shí)收集數(shù)據(jù)包和日志數(shù)據(jù)。它支持廣泛的日志類(lèi)型，在網(wǎng)絡(luò)中可部署多個(gè)解碼器以確?？蓴U(kuò)展性和可用性。另一個(gè)基礎(chǔ)設(shè)施組件的RSA安全分析集中器，它負(fù)責(zé)聚合來(lái)自編碼器的數(shù)據(jù)。另外，安全分析師和管理員可使用RSA安全分析經(jīng)紀(jì)人/分析服務(wù)器來(lái)查詢(xún)解碼器收集的數(shù)據(jù)以及集中器匯總的數(shù)據(jù)。

這個(gè)RSA Security Analytics分布式平臺(tái)非常適合大型網(wǎng)絡(luò)，因?yàn)殡S著網(wǎng)絡(luò)流量或日志卷的增長(zhǎng)，企業(yè)可以添加基礎(chǔ)設(shè)施組件進(jìn)行擴(kuò)展。然而，與其他分布式系統(tǒng)一樣，它可能更加難以管理和配置。因此，企業(yè)需要計(jì)劃投資足夠的系統(tǒng)管理支持來(lái)監(jiān)控和維護(hù)該安全分析平臺(tái)。

該RSA平臺(tái)的分析組件提供對(duì)網(wǎng)絡(luò)、日志和端點(diǎn)數(shù)據(jù)的實(shí)時(shí)分析用于檢測(cè)事件。還有歸檔器用于存儲(chǔ)和報(bào)告收集的安全數(shù)據(jù)。

專(zhuān)注于高級(jí)持續(xù)性威脅

企業(yè)規(guī)模只是安全分析用例分類(lèi)其中一個(gè)維度。有時(shí)候更合適的分類(lèi)是考慮企業(yè)希望使用的最重要的功能。例如，如果企業(yè)已經(jīng)有良好的端點(diǎn)保護(hù)和數(shù)據(jù)收集功能，企業(yè)可能希望將重點(diǎn)放在高級(jí)持續(xù)威脅。而對(duì)于這個(gè)用例，企業(yè)需要的是專(zhuān)注分析范圍和深度以及支持取證的安全分析產(chǎn)品。

Arbor Pravail Security Analytics采用多種技術(shù)來(lái)實(shí)時(shí)檢測(cè)高級(jí)威脅。這個(gè)安全分析平臺(tái)使用全包捕捉來(lái)收集大量原始數(shù)據(jù)，從而幫助識(shí)別針對(duì)企業(yè)的多種攻擊源。同時(shí)，該平臺(tái)會(huì)存儲(chǔ)網(wǎng)絡(luò)流量數(shù)據(jù)，并在新數(shù)據(jù)進(jìn)入后重新分析流量數(shù)據(jù)。例如，如果該供應(yīng)商的情報(bào)監(jiān)視發(fā)現(xiàn)新類(lèi)型的威脅，他們會(huì)開(kāi)發(fā)和部署新的檢測(cè)技術(shù)，這些技術(shù)隨后可以分析舊數(shù)據(jù)來(lái)確定是否存在攻擊。

有些攻擊者會(huì)先攻擊網(wǎng)絡(luò)，然后在數(shù)周內(nèi)停止活動(dòng)。這種攻擊模式可能很受攻擊者的青睞，因?yàn)樵谀承┣闆r下，這種攻擊活動(dòng)更加難以檢測(cè)，它不會(huì)像持續(xù)攻擊那樣生成可識(shí)別的攻擊模式。通過(guò)保存歷史流量數(shù)據(jù)以及掃描這些數(shù)據(jù)查找先前的攻擊痕跡，企業(yè)可以更好地應(yīng)對(duì)采用這種攻擊模式的攻擊者。

除了分析歷史數(shù)據(jù)，分析流量也是發(fā)現(xiàn)高級(jí)持續(xù)威脅的重要手段。Lancope Stealthe Watch System使用有關(guān)網(wǎng)絡(luò)事件的流量記錄來(lái)檢測(cè)高級(jí)攻擊的不同階段。該Lancope系統(tǒng)包含一個(gè)數(shù)據(jù)聚集器，它會(huì)整合不同數(shù)據(jù)到單個(gè)可分析的網(wǎng)絡(luò)和數(shù)據(jù)事件數(shù)據(jù)源。另外，在高級(jí)攻擊的過(guò)程中，控制臺(tái)還會(huì)提供有關(guān)重要事件的最新數(shù)據(jù)和警報(bào)。

另外，Click Security公司的Click Commander很適合分析惡意攻擊者的行為、分析不同攻擊階段的活動(dòng)以及發(fā)布警報(bào)和其他自定義通知。該工具還包含可視化工具，可用于創(chuàng)建活動(dòng)圖表，同時(shí)提供攻擊者配置文件和情境數(shù)據(jù)以分析圖表中描述的事件。

專(zhuān)注于取證

目前，專(zhuān)注于高級(jí)持續(xù)威脅和專(zhuān)注于取證的用例中存在一些重疊。Arbor Pravail Security Analytics和Lancope Stealth Watch System都非常適合以取證為主的用例，而其他可收集和整合數(shù)據(jù)以及提供全面查詢(xún)及分析功能的系統(tǒng)也可以滿(mǎn)足取證支持的需求。

Blue Coat Security Analytics platform整合了很多安全工具，包括防火墻、數(shù)據(jù)丟失防護(hù)、入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)和惡意軟件掃描器等。它還整合了數(shù)據(jù)生成或數(shù)據(jù)傳輸設(shè)備及工具，例如來(lái)自戴爾、惠普、McAfee、Palo Alto Networks和Splunk的產(chǎn)品。

安全工具和服務(wù)組合

對(duì)于需要整合安全控制與新安全分析平臺(tái)的企業(yè)而言，最好的產(chǎn)品應(yīng)該是可以允許他們部署可彌補(bǔ)其安全系統(tǒng)中功能差距的產(chǎn)品。在這種情況下，提供模塊化功能的供應(yīng)商是不錯(cuò)的選擇。

例如，Blue Coat Security Analytics Platform允許客戶(hù)根據(jù)需要集成不同模塊或刀片。該平臺(tái)提供多種部署方法(包括設(shè)備和虛擬機(jī))，讓客戶(hù)可以部署提供合適功能和可擴(kuò)展水平的安全分析工具。

如果安全分析報(bào)告是首要考慮因素的話(huà)，則應(yīng)該考慮Sumo Logic的預(yù)先定義合規(guī)報(bào)告是否能滿(mǎn)足你的需求。而對(duì)于需要長(zhǎng)期保存其安全數(shù)據(jù)的企業(yè)，則可以考慮EMC RSA Security Analytics NetWitness。

結(jié)論

安全分析工具解決了常見(jiàn)問(wèn)題：如何使用企業(yè)基礎(chǔ)設(shè)施中的可用數(shù)據(jù)來(lái)發(fā)現(xiàn)威脅和攻擊、分析攻擊方法以及在發(fā)現(xiàn)攻擊時(shí)提醒系統(tǒng)管理員和應(yīng)用所有者。任何規(guī)模的企業(yè)都是潛在的攻擊目標(biāo)。

小型企業(yè)可能認(rèn)為他們不會(huì)受到老練的黑客的攻擊，但事實(shí)并不是這樣。他們可能擁有高價(jià)值的客戶(hù)，例如全球2000強(qiáng)企業(yè)、大型政府機(jī)構(gòu)等，而這些都是攻擊者的最終目標(biāo)。對(duì)于大型或小型企業(yè)而言，安全分析并不是第一道防線(xiàn)，但它是越來(lái)越重要的防御措施。

對(duì)于需要負(fù)責(zé)推薦、評(píng)估和購(gòu)買(mǎi)安全分析平臺(tái)的IT專(zhuān)業(yè)人員，他們需要基于現(xiàn)有安全控制和應(yīng)用仔細(xì)評(píng)估其需求。但如果企業(yè)已經(jīng)部署了工具來(lái)滿(mǎn)足一些安全和分析要求，他們可能不會(huì)想花更多錢(qián)來(lái)獲得重復(fù)的功能。另一方面，如果說(shuō)有個(gè)IT領(lǐng)域允許冗余功能存在的話(huà)，那肯定是安全領(lǐng)域。

安全分析提供了各種各樣的功能。有些產(chǎn)品(例如Sumo Logic的基于云的服務(wù))專(zhuān)門(mén)針對(duì)中小型企業(yè)，為他們提供廣泛的安全功能，而只需要很少的開(kāi)銷(xiāo)。

而對(duì)于大型企業(yè)，則應(yīng)該考慮可處理大量流量以及可從全國(guó)或全球網(wǎng)絡(luò)收集數(shù)據(jù)的系統(tǒng)。瞻博網(wǎng)絡(luò)和EMC RSA的產(chǎn)品就屬于這一類(lèi)。

此外，對(duì)于重視高級(jí)持續(xù)威脅檢測(cè)和取證的企業(yè)，提供網(wǎng)絡(luò)流量實(shí)時(shí)分析的工具是不錯(cuò)的選擇。有些供應(yīng)商在其安全分析平臺(tái)中提供模塊化組件，這些可能非常適合用于填補(bǔ)安全功能中的空白區(qū)。