ビッグデータの下での企業セキュリティ管理プラットフォームの分析

1. はじめに

現在、コンピュータネットワークと情報セキュリティの分野は新たな課題に直面しています。一方で、ビッグデータやクラウドコンピューティング時代の到来により、セキュリティ問題がビッグデータの課題となっており、企業や組織のネットワークや情報システムでは、日々大量のセキュリティデータが生成され、その生成速度は高速化しています。ますます速くなります。一方で、国や企業、組織が直面するサイバー空間のセキュリティ情勢は厳しく、隠蔽性が高く、潜伏期間が長く、持続性が強いなど、対処すべき攻撃や脅威は複雑化しています。 。

これらの新たな課題に直面すると、従来のエンタープライズ セキュリティ管理プラットフォームの限界が完全に明らかになり、主に次の側面に反映されます。

1. 大量のデータの処理

企業セキュリティ管理基盤の管理では、企業ネットワーク内のさまざまなセキュリティ機器、ネットワーク機器、アプリケーションシステムなどが関与し、日々大量のセキュリティイベントや操作ログなどのセキュリティデータが生成され、そのデータ量は膨大なものとなります。とても巨大になる。大量のセキュリティ データに直面すると、セキュリティ管理者が貴重な情報を見つけるのは困難ですが、一方で、大量のデータに直面すると、従来のエンタープライズ セキュリティ管理プラットフォームの技術アーキテクチャでもデータの収集、保存、分析が困難になります。 、処理、プレゼンテーションなど、さまざまなボトルネックがあります。

2. マルチソースの異種データ収集

企業ネットワーク内のさまざまなセキュリティ機器、ネットワーク機器、アプリケーション システムなどは、種類やメーカーが異なる場合があり、各機器の製品の違いにより、企業セキュリティ管理プラットフォームが直面するセキュリティ データの構造やセキュリティも異なります。フォーマットの統一により、データ分析が困難になります。この問題により、エンタープライズ セキュリティ管理プラットフォームのデータ収集効率が低下し、パフォーマンスのボトルネックが発生します。

3. セキュリティ データは分散および分離されます

企業ネットワーク内のさまざまなセキュリティ機器、ネットワーク機器、アプリケーションシステムなどがネットワーク上のさまざまな場所に点在し、さまざまなデータ間の有効な相関関係が欠如すると、セキュリティの孤立につながります。情報が島化して分析不能になる 大量のデータを総合的に分析する。現在、ネットワークにおける攻撃動作は細分化された攻撃が一般的であり、各段階は異なるセキュリティ機器によって監視・発見され、異なるログに存在する可能性があり、個々の機器のセキュリティログのみを分析した場合、完全な攻撃動作を検出することは困難です。 。セキュリティデータの分析精度を高めるためには、ビッグデータに基づくイベント相関分析により複数のアラーム間の相関関係を見つけ出し、潜在的な脅威行為や攻撃行為を発見する必要があります。

4.ディープマイニング手法の欠如

現在のネットワーク環境では、新たな攻撃手法が後を絶たず出現しており、従来の攻撃手法とは異なり、APT 攻撃など従来の検出手法では隠蔽性が高く、検出が困難です。新しい攻撃手法の長期的、秘密的かつ高度な性質に直面すると、リアルタイム分析に基づく従来の監視技術はもはや適切ではなくなり、新たな攻撃手法による被害を防ぐためには、綿密な監視を行う必要があります。過去のセキュリティ データのオフライン マイニング: 新しい攻撃行為の手がかりを大量の過去のデータから見つけることができ、問題が発生する前に防ぐことができます。

上記の問題を一言で要約すると、大規模でマルチソースの異種混合、分散された独立したセキュリティ データが、分析、保存、取得において従来のエンタープライズ セキュリティ管理プラットフォームに多くの問題をもたらしているということです。この観点から、新世代のエンタープライズ セキュリティ管理プラットフォームは、ビッグ データ プラットフォーム アーキテクチャによってサポートされ、非常に大量のデータの収集、融合、保存、取得、分析、状況認識および視覚化をサポートし、統合および統合される必要があります。以前に分散されていたセキュリティ情報を相互に関連付け、独立した分析手法とツールを統合してインタラクションを形成し、インテリジェントなセキュリティ分析と意思決定を実現し、機械学習、データ マイニング、その他のテクノロジーをセキュリティ分析に適用し、より迅速かつ適切なセキュリティに関する意思決定を行います。ビッグ データの発展は、企業のセキュリティ管理プラットフォームに新たな課題をもたらしましたが、それが生み出したビッグ データ テクノロジーは、企業のセキュリティ管理プラットフォームに機会と新たな活力ももたらしました。

2.ビッグデータとは何ですか?

ビッグデータの一般的な定義は「既存の一般的な技術では管理が困難な大量のデータの集まり」であり、広義には「4V（質量・多様性・高速性・価値、データの管理を困難にするデータの量/多様性/速度/価値などの特性、これらのデータを保存、処理、分析するためのテクノロジー、およびこれらのデータを分析することで実際的な意味と視点を得ることができる人材と組織。」

##ビッグデータには、ボリューム、多様性、速度、価値という 4 つの重要な特性 (つまり 4V 特性) があります。

ボリュームとは、現在の主流のソフトウェア ツールでは効果的に処理および分析できないほど大規模なデータの量を指します。そのため、従来のデータ処理および分析方法を変更する必要があります。
多様性とは、構造化データと非構造化データを含む幅広いデータソースとさまざまな形式を指します。非構造化データは構造化データに比べて増加速度が速く、大きな利用価値があります。分析により、重要な情報が明らかになります。以前は判断が困難または不可能でした。
速度とは、従来のデータ処理システムと比較して、ビッグ データ分析システムにはリアルタイム パフォーマンスに対する要件が高く、計算を短時間で完了する必要があることを意味します。そうしないと、結果が古くなり無効になります。
価値とはビッグデータが価値があることを意味しますが、膨大なデータの中で本当に価値があり、意味のあるものはほんの一部です。

3. 情報セキュリティにおけるビッグデータの応用

情報セキュリティにおけるビッグデータの適用は、データの爆発的な増加が現在の情報セキュリティ技術に課題をもたらしていることを主に示しています。従来の情報セキュリティ技術は、極めて大量のデータに直面する場合にはもはや適していません。データ環境の特性が次世代のセキュリティ技術を開発します。現在一般的なセキュリティ手法は、主に境界防御と静的セキュリティ制御に依存しており、サイバー脅威に関する事前の知識が必要です。しかし、このセキュリティ慣行は、今日の非常に拡張され、クラウドベースで、モバイル性の高いビジネス世界に対処するには、もはや適切ではありません。このような背景に基づいて、業界は情報セキュリティ研究の焦点をインテリジェンス主導型の情報セキュリティ モデルに移し始めています。このモデルは、企業が未知の高度なネットワーク脅威から防御するのに役立つ、リスクを認識し、コンテキストに基づいた柔軟なモデルです。ビッグデータ分析ツールを活用した情報セキュリティに対するこのインテリジェンス主導のアプローチには、動的なリスク評価、大量のセキュリティ データの分析、適応制御、サイバー脅威と攻撃手法に関する情報共有を組み込むことができます。第二に、ビッグデータの概念は情報セキュリティ技術に活用でき、たとえば、ビッグデータ分析を通じて、大量のネットワークセキュリティデータを迅速かつ効果的に分析して、ネットワークセキュリティに関連する情報を見つけることができます。ビッグデータをセキュリティ実践に統合することで、IT 環境の可視性が大幅に向上し、通常のアクティビティと疑わしいアクティビティを識別する能力が向上し、それによって IT システムの信頼性が確保され、セキュリティ インシデント対応能力が大幅に向上すると予測できます。

4. ビッグデータのセキュリティ分析

ビッグデータセキュリティ分析とは、その名前が示すように、ビッグデータテクノロジーを使用してセキュリティ分析を行うことを指します。ビッグデータ セキュリティ分析テクノロジーの助けを借りて、大規模なセキュリティ データの収集と保存の問題をより適切に解決でき、ビッグ データ分析テクノロジーに基づく機械学習とデータ マイニング アルゴリズムの助けを借りて、セキュリティに関するよりインテリジェントな洞察を得ることができます。情報・ネットワークセキュリティの状況をよりインテリジェントに把握し、新たかつ複雑な脅威や未知かつ変化するリスクに積極的かつ柔軟に対応します。

ネットワークセキュリティの分野では、ビッグデータセキュリティ分析は企業セキュリティ管理プラットフォームにおけるセキュリティイベント分析の中核技術であり、ビッグデータセキュリティ分析がセキュリティデータ処理に及ぼす影響は主に分析方法に依存します。しかし、ネットワーク セキュリティの分野に適用する場合、セキュリティ データ自体の特性とセキュリティ分析の目的も考慮する必要があるため、ビッグ データ セキュリティ分析の適用はより価値のあるものになります。

5. エンタープライズセキュリティ管理プラットフォームへのビッグデータ分析の適用

現在ビッグ データ分析で使用されている主流の技術アーキテクチャは Hadoop であり、業界はビッグ データ分析における Hadoop の役割にますます注目しています。 Hadoop の HDFS テクノロジと HBase テクノロジは、ビッグ データの超大容量ストレージ要件に正確に一致し、Hadoop の MapReduce テクノロジは、ビッグ データの高速リアルタイム分析のニーズにも応えることができます。

以前に紹介した従来のエンタープライズ セキュリティ管理プラットフォームが直面する課題と制限に基づいて、Hadoop テクノロジをエンタープライズ セキュリティ管理プラットフォームに適用し、非常に大量のデータをサポートする新世代のエンタープライズ セキュリティ管理プラットフォームに開発できます。収集、融合、保存、検索、分析、状況認識、可視化機能。

Hadoop アーキテクチャを使用した新世代のエンタープライズ セキュリティ管理プラットフォームには、次の特徴があります。

• スケーラビリティ: システム ノードの動的な追加と削除をサポートし、クラスタ構築方法は柔軟で制御可能です。
• 効率性: データの保存には分散ファイル システムが使用され、大量データの高速読み取り/書き込みとクエリ操作がサポートされます。データ分析とビジネス操作には分散コンピューティングが使用されます。各ビジネス ノードは独立して計算され、相互に干渉しません。ノードの数が多いほど、マルチオペレーションが高速になります。
• 信頼性: システムの自動災害復旧 (HA)、クラスタ構築にマスター/スレーブ機構 (Master-Slave) を採用、システム内のノード間のデータはリアルタイムで相互にバックアップ、ノードダウン時には直接切り替えバックアップノードと計算機に接続し、障害発生時にはバックアップ計算機ノードに直接切り替えることができます。
• 低コスト: システム内の各ノード デバイスのハードウェア要件は高くなく、Java テクノロジ開発はクロスプラットフォームで可能であり、関連テクノロジはオープン ソースです。

つまり、従来のアーキテクチャのエンタープライズ セキュリティ管理プラットフォームと比較して、Hadoop を使用した次世代エンタープライズ セキュリティ管理プラットフォームは、データ分析の計算速度を大幅に向上させ、計算コストを削減し、データ セキュリティを向上させ、ユーザーにさまざまな分析を柔軟に提供することができます。エンジンおよび分析ツール。

6.概要

要約すると、ビッグ データ分析フレームワークとビッグ データ セキュリティ分析テクノロジは、従来のエンタープライズ セキュリティ管理プラットフォームのセキュリティ データの収集、分析、保管、取得の問題を十分に解決できることがわかります。長期的には、将来のエンタープライズ セキュリティ管理プラットフォームは、ビッグ データ分析技術に基づく機械学習、データ マイニング アルゴリズム、視覚分析、インテリジェント分析などの新技術の研究を通じて、エンタープライズ セキュリティ管理プラットフォームの機能も向上させる必要があります。ネットワークのセキュリティ状況をよりインテリジェントに分析し、新しく複雑な脅威や未知の変化するリスクに対してより積極的かつ柔軟に対応できます。しかし、エンタープライズ セキュリティ管理プラットフォームのテクノロジーがどのように発展し、ビッグデータとどのように統合されても、エンタープライズ セキュリティ管理プラットフォームが解決する必要がある根本的な顧客の問題と、顧客のビジネスとの統合の傾向は変わりません。ビッグデータの適用は、依然として、顧客の実際のセキュリティ管理問題を解決するという基本的な目標に役立つ必要があります。

以上がビッグデータの下での企業セキュリティ管理プラットフォームの分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。