大數(shù)據(jù)時代的新速度

特約通訊員 黃一鈞

大數(shù)據(jù)時代的新速度

特約通訊員 黃一鈞

在講求信息安全的IT時代，最具有標(biāo)志性的口號莫過于“速度就是一切”。在過去的十年中，我們見證了防火墻技術(shù)的不斷演進(jìn)，數(shù)據(jù)量從1G、10G的數(shù)據(jù)級到40G的數(shù)據(jù)級，防火墻正在不斷地突破自身的數(shù)據(jù)量上限。那么問題來了，是不是處理的數(shù)據(jù)量越多，處理數(shù)據(jù)的速度更快就是未來技術(shù)的發(fā)展方向呢？恐怕我們今天還暫時不能這么說。

即使當(dāng)前網(wǎng)絡(luò)安全體系架構(gòu)兼容極快的數(shù)據(jù)處理速度，我們目前處理數(shù)據(jù)時的速度遠(yuǎn)低于其兼容的上限，但威脅仍然將滲透到網(wǎng)絡(luò)的每個角落。這便引出了一個疑問：我們真的在合理地利用這種速度（即數(shù)據(jù)計算能力）嗎？

不妨回過頭來審視我們的目標(biāo)，我們的目的是為了運用處理速度（計算機(jī)的運算處理能力）來更有效地保障數(shù)據(jù)安全。然而在當(dāng)前大數(shù)據(jù)信息技術(shù)的背景下，要做到這一點會面臨越來越多的困難。許多組織的信息技術(shù)體系架構(gòu)都能夠負(fù)載來自多個源頭的超大量數(shù)據(jù)，與此同時許多機(jī)密數(shù)據(jù)也隨之急劇地產(chǎn)生，比以往數(shù)量更大。

在大數(shù)據(jù)時代，隨著操作數(shù)據(jù)量級邁入千兆級別，可以確信現(xiàn)在大多數(shù)的安全威脅都能夠輕易地危害到現(xiàn)有的數(shù)據(jù)安全體系架構(gòu)。但是只要合理運用我們現(xiàn)階段的數(shù)據(jù)處理能力，我們就能夠監(jiān)控到更多的安全事件，整合安全數(shù)據(jù)，識別用戶身份，發(fā)現(xiàn)潛在的威脅，并且加快危機(jī)響應(yīng)的速度。

那么，我們究竟需要怎樣的“速度”呢？我想我們可以從以下幾個方面入手：

1.能夠監(jiān)控一切事件的“速度”

盡管我們都希望安全系統(tǒng)能夠自動地終止安全威脅并且減輕所有潛在風(fēng)險帶來的影響，但是往往事與愿違。所以首當(dāng)其沖的是需要構(gòu)建一套機(jī)制，它是我們用來監(jiān)控安全事件發(fā)展的“耳目”。好消息是，總的來說，網(wǎng)絡(luò)上已經(jīng)存在了這樣的“耳目”。

我們需要一套安全體系架構(gòu)，它能夠在一些系統(tǒng)（如防火墻、入侵防御系統(tǒng)、數(shù)據(jù)泄露防護(hù)系統(tǒng)、應(yīng)用服務(wù)器系統(tǒng)、目錄地址映射系統(tǒng)以及交換機(jī)系統(tǒng)等）中很快地收集、轉(zhuǎn)發(fā)并處理來自所有可用源的數(shù)據(jù)。通常這些系統(tǒng)只會轉(zhuǎn)發(fā)警報觸發(fā)信息，而這些數(shù)據(jù)只是可用數(shù)據(jù)的一個很小的組成部分。由于我們需要捕獲到所有可用源的數(shù)據(jù)，現(xiàn)有的安全體系架構(gòu)必須提升數(shù)據(jù)處理和轉(zhuǎn)發(fā)的能力。

2.能夠整合安全數(shù)據(jù)的“速度”

有朝一日，如果當(dāng)前的邊緣網(wǎng)絡(luò)系統(tǒng)，以交換機(jī)系統(tǒng)為例，性能能夠提升到除了可以處理好原本的業(yè)務(wù)之外，也能夠有余力收集和轉(zhuǎn)發(fā)當(dāng)前網(wǎng)絡(luò)狀態(tài)的各種數(shù)據(jù)，那么我們能夠?qū)⑦@種性能運用到更加廣泛的領(lǐng)域中去。

目前具有強(qiáng)大數(shù)據(jù)搜索能力的谷歌就是一個很好的例子。很難想象，如果沒有像谷歌這樣能夠讓人們快速查詢到所有內(nèi)容的搜索引擎，互聯(lián)網(wǎng)的世界將會變成什么樣子。誠然，或許使用谷歌搜索出來的內(nèi)容存在許多垃圾信息和錯誤結(jié)果，但確實也能呈現(xiàn)出許多具有很高價值的信息，而且這些信息是沒有辦法使用其他的方法獲取到的。

就如盲人摸象的寓言里所揭示的道理一樣，從防火墻、交換機(jī)系統(tǒng)以及服務(wù)器系統(tǒng)捕獲的數(shù)據(jù)來看，都只是冰山一角。但是如果將他們所收集到的信息綜合起來，我們能夠從中獲取一些與眾不同并且更加實用的信息。要能夠?qū)崟r抓取不斷變化的數(shù)據(jù)流，安全系統(tǒng)架構(gòu)急需提升自身的處理速度。

除此之外，能夠準(zhǔn)確地捕獲到當(dāng)前網(wǎng)絡(luò)上的數(shù)據(jù)雖然也是非常強(qiáng)大的功能。但如果我們僅僅滿足于此，距離我們所想要達(dá)到的愿景依然十分遙遠(yuǎn)，我們希望能夠建立一個高效、經(jīng)濟(jì)并且能夠真正提供安全性保障的安全體系。我們需要更加深入地挖掘這種“速度”。3.揭示潛在威脅的“速度”

如果我們擁有一個高效的數(shù)據(jù)處理機(jī)制，監(jiān)控當(dāng)前的系統(tǒng)狀態(tài)并追蹤事件產(chǎn)生源頭，那么我們更加有理由想要借助這樣的機(jī)制來評估每個業(yè)務(wù)的風(fēng)險，當(dāng)新的威脅出現(xiàn)時，能夠根據(jù)業(yè)務(wù)行為識別出這些威脅。近年來，關(guān)于大數(shù)據(jù)處理與關(guān)聯(lián)的技術(shù)發(fā)展突飛猛進(jìn)。我們需要一個處理速度優(yōu)異的系統(tǒng)來利用這些新進(jìn)技術(shù)。如果廣告公司能夠從獲取到的數(shù)據(jù)中通過分析行為的方式得知你青睞的產(chǎn)品種類，那么安全系統(tǒng)應(yīng)該能夠通過分析用戶行為得知事態(tài)的輕重緩急。

4.能夠識別每個人的“速度”

僅僅通過收集數(shù)據(jù)并不會使得安全體系架構(gòu)能夠提供安全性的保障。我們需要通過分析數(shù)據(jù)來獲取到更多有用的信息。

安全管理實質(zhì)上是進(jìn)行風(fēng)險管理。我們需要知道當(dāng)事人所做的事情以及他所在的位置才能夠有效地評估風(fēng)險。通常，我們可以通過監(jiān)控IP地址來達(dá)到上述的要求。這種匿名并且經(jīng)常變換的標(biāo)識是非常有用的數(shù)據(jù)，但單憑IP地址，無論用什么速度來處理信息，都不能夠為評估風(fēng)險提供有效的信息。我們真正需要的信息是真實名字和他在組織中的角色——導(dǎo)致事件發(fā)生的當(dāng)事人。我們同時也需要知道真實的位置信息——他們是坐在數(shù)據(jù)中心的處理室里？還是在一個郊外缺乏辦公室區(qū)域可以上網(wǎng)的咖啡屋里？我們需要一個具有快速處理能力的安全體系架構(gòu)來將這些與事件相關(guān)的記錄關(guān)聯(lián)起來，這樣我們才能看到事情真實的一面而不僅僅只停留在IP地址的層面上。

5.加快響應(yīng)的“速度”

或者說是“緩慢加速的風(fēng)險”。現(xiàn)在，安全威脅的問題層出不窮，從威脅到真正產(chǎn)生數(shù)據(jù)丟失的結(jié)果不過彈指一揮間。因此，建立一個能夠在如此短時間內(nèi)快速響應(yīng)威脅信息的安全體系架構(gòu)就顯得尤為迫切。重要的是，通過調(diào)查取證分析發(fā)生的事情，我們能夠及時出臺相應(yīng)的政策和機(jī)制來防止這種事情的再次發(fā)生。但如果我們所受到的威脅范圍總是不斷變化，例如今天遭遇的威脅與昨天的遭遇截然不同，那么僅僅依靠事后分析將使我們疲于奔命更加迷茫。我們需要一個在威脅產(chǎn)生發(fā)展之時能夠?qū)崟r做出響應(yīng)的安全體系架構(gòu)。

那么，我們該怎么做？

當(dāng)前的安全體系對威脅的防御能力仍然只能是呈線型發(fā)展趨勢，但我們所要面臨威脅的發(fā)展趨勢卻是呈指數(shù)級增長。因此這就需要推行一套足夠有力的安全體系架構(gòu)來幫助我們逾越這道鴻溝。與以往的舉措相比，具有一定吞吐量的系統(tǒng)或許看起來更加地不錯，但是在我們急需解決的大數(shù)據(jù)信息技術(shù)問題面前，它不能帶來顛覆性的變化。安全性解決方案的評估不能再僅僅只依靠速度和饋送量這些指標(biāo)，應(yīng)該將潛在的發(fā)展性考慮在內(nèi)。無論你將安全視為處理事件、控制風(fēng)險、制止威脅還是遵守規(guī)章，抑或是以上所有，新一代的技術(shù)一定還是會向快速高效并以數(shù)據(jù)作為驅(qū)動的安全方向發(fā)展?？偠灾瑢τ诖髷?shù)據(jù)時代來說，速度就是安全性能的可靠保證。