在安全圈子中有關(guān)“大數(shù)據(jù)”的議論是這樣的：如果企業(yè)把自己的與安全有關(guān)的事件數(shù)據(jù)與商務(wù)信息庫結(jié)合起來，企業(yè)就能夠分析這個(gè)大數(shù)據(jù)以便抓住設(shè)法竊取敏感信息的入侵者。 這個(gè)從安全角度對(duì)大數(shù)據(jù)的觀察希望企業(yè)應(yīng)用基于開源軟件Hadoop的龐大的數(shù)據(jù)庫。這將導(dǎo)致在IT部門出現(xiàn)一個(gè)圍繞Hadoop的新型的“數(shù)據(jù)科學(xué)家”的職位。安全專業(yè)人員和分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生以安全為重點(diǎn)數(shù)據(jù)科學(xué)家。這些數(shù)據(jù)科學(xué)家將利用工具和知識(shí)準(zhǔn)確地找到設(shè)法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊。
         在復(fù)雜的網(wǎng)絡(luò)中抓住網(wǎng)絡(luò)竊賊已經(jīng)證明是很困難的。“大數(shù)據(jù)”將提供新的希望。但是，“大數(shù)據(jù)”能保證做到嗎？
 咨詢機(jī)構(gòu)企業(yè)管理協(xié)會(huì)的分析師斯科特·克勞福德（ScottCrawford）也這樣認(rèn)為。他在舊金山舉行的RSA會(huì)議關(guān)于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強(qiáng)安全的分析師小組討論會(huì)上說：“統(tǒng)計(jì)分析將識(shí)別出異常情況，但是，統(tǒng)計(jì)分析不理解安全。”
        克勞福德預(yù)計(jì)最終將出現(xiàn)一個(gè)大數(shù)據(jù)的“安全算法市場(chǎng)”。他指出，RedLambda和Palantir等公司目前正在解決這個(gè)問題。它們利用大量的算術(shù)分析以發(fā)現(xiàn)異常情況。
        對(duì)于網(wǎng)絡(luò)內(nèi)部行為正常網(wǎng)絡(luò)用戶來說，企圖隱藏起來的惡毒的攻擊者一種異常行為。攻擊者通常隱藏在正常用戶的后面。Gartner分析師尼爾·麥克唐納德（NeilMacDonald）在RSA小組會(huì)上發(fā)言稱，目前，隱蔽的攻擊者正在通過傳統(tǒng)的防御措施，如入侵防御系統(tǒng)、防火墻和殺毒軟件。
        麥克唐納德稱，這些滲透和竊取高度敏感數(shù)據(jù)的災(zāi)難性的攻擊有時(shí)候稱作“高級(jí)的持續(xù)威脅”（APT）。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡(luò)中的人類演員實(shí)施的。我們還不知道在網(wǎng)絡(luò)中“好的”和“壞的”行為是什么樣子。他指出，你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”。
        分析師認(rèn)為，大數(shù)據(jù)正在為安全分析提供新的可能性。這意味著目前使用的安全工具、安全信息與事件管理以及類似的不能解決這個(gè)問題的工具必須要發(fā)展。
        麥克唐納德稱，在某種程度上，這種發(fā)展現(xiàn)在已經(jīng)開始了。他是指RSA的威脅檢測(cè)產(chǎn)品NetWitness和惠普的ArcSightSIM。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱，他們將用新的方式解決APT問題。
        但是，SIEM（安全信息和事件管理）的發(fā)展能夠處理與商務(wù)有關(guān)的大數(shù)據(jù)嗎？這個(gè)整個(gè)想法是不是一個(gè)愉快的假象？這個(gè)整個(gè)想法就是把更多的商務(wù)數(shù)據(jù)添加到來自各種防火墻、服務(wù)器、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關(guān)于入侵者的情報(bào)。
        市場(chǎng)研究公司Forrester的分析師約翰·金德瓦格（JohnKindervag）稱，人們不能從SIEM工具中得到自己需要的答案。他表示將會(huì)出現(xiàn)一些新的東西。SIEM工具將是這些新東西的一部分。
        在參加RSA小組討論會(huì)的分析師中，企業(yè)戰(zhàn)略集團(tuán)（EntERPriseStrategyGroup）分析師喬恩·奧爾特辛克（JonOltsik）是最樂觀的。他認(rèn)為大數(shù)據(jù)是解決APT問題的答案。 
        奧爾特辛克發(fā)表評(píng)論稱，我擔(dān)心的問題是我們將獲取更多的數(shù)據(jù)，但是不知道用這些數(shù)據(jù)做什么。企業(yè)中的首席信息安全官目前還沒有宣傳大數(shù)據(jù)將促進(jìn)安全的想法。他說：“當(dāng)我與首席信息安全官談話并且問到有關(guān)大數(shù)據(jù)的問題時(shí)，他們只是笑一笑。”
        不過，一些大數(shù)據(jù)安全方法的早期應(yīng)用者也表示有希望。
        ZionsBancorporation公司已經(jīng)建立了一個(gè)大型數(shù)據(jù)庫，對(duì)實(shí)時(shí)安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進(jìn)行預(yù)防性的分析，以便識(shí)別釣魚攻擊，防止詐騙和阻止黑客入侵。這個(gè)數(shù)據(jù)庫是在去年10月發(fā)布的，是以Zettaset數(shù)據(jù)庫為基礎(chǔ)的。這個(gè)數(shù)據(jù)庫利用Hadoop工具數(shù)據(jù)密集型的分布式應(yīng)用的分析。該公司首席安全官普雷斯頓·伍德  （PrestonWood）把這種做法解釋為增強(qiáng)SIM工具的一種方法并且為了安全目的分析大量的歷史的商務(wù)數(shù)據(jù)。
包括NetIQ在內(nèi)的SIEM廠商表示，他們知道，有關(guān)大數(shù)據(jù)和安全的議論才剛剛開始。
        NetIQ產(chǎn)品管理主管馬特·尤萊里（MattUlery）稱，這是SIEM的發(fā)展方向。他說，這個(gè)行業(yè)正在通過集成商務(wù)智能開始重新發(fā)明SIEM技術(shù)。大數(shù)據(jù)能夠檢測(cè)到異常情況。尤萊里指出，該公司的Sentinel7.0集成了更多的數(shù)據(jù)環(huán)境。
        尤萊里針對(duì)攻擊者將接管一個(gè)賬戶的事情問到：“你如何定義好的行為？因此，這個(gè)問題就是那是一位員工，還是一個(gè)攻擊者？”隱蔽的攻擊行動(dòng)最多每天會(huì)出現(xiàn)幾秒鐘。因此，這個(gè)目標(biāo)就是區(qū)分可信賴的內(nèi)部人員和攻擊者。大數(shù)據(jù)在這方面會(huì)提供許多幫助。
        但是，尤萊里補(bǔ)充說，有許多現(xiàn)實(shí)的理由說明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙。
        一個(gè)現(xiàn)實(shí)的障礙是目前把企業(yè)數(shù)據(jù)放在云計(jì)算中的努力。這將使傳統(tǒng)的SIEM方法更加困難。SIEM方法一直在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用。另一個(gè)障礙是對(duì)大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級(jí)的技術(shù)。在還有許其它的多企業(yè)問題需要解決的時(shí)代，增加大數(shù)據(jù)問題可能是一個(gè)很難說服人的問題。目前，在工作場(chǎng)所使用自己的移動(dòng)設(shè)備已經(jīng)是企業(yè)的一個(gè)重大的管理問題。