為了利用大數據來加強企業信息安全，我們需要部署哪些技術和流程？日志管理？SIEM部署？我們需要進行什么樣的培訓？保護數據中心需要怎么做？在本文中，筆者將提供現實的建議，讓企業信息安全團隊知道他們必須部署什么樣的技術以及必須部署什么樣的流程以充分利用大數據。

什么是大數據？為什么它對信息安全意義重大？

就像電影《黑客帝國》中的感知機器人或者《終結者》電影中的Skynet一樣，現在的大數據環境由大規模并行處理數據庫產品（不過所幸的是，它們沒有自我感知能力）組成，這些產品通過處理PB級（1015）到ZB級（1021）看似不同的數據來創建趨勢和數據映射。通過建立這種宏觀層面的信息，大數據可以讓企業了解到他們的產品是如何以前所未有的經濟理解水平在運行。也就是說，通過以新方式來結合和分析海量數據，我們可以實現新的業務洞察力。

雖然大數據在商業世界有很多有價值的應用，重要的是要記住，這些大數據信息對于企業信息安全團隊同樣具有價值。那么，安全團隊應該怎樣利用大數據以加強企業安全—同時抵御內部和外部威脅？

保護大數據：基礎設施準備

首先，對于利用大數據系統來分析企業內活動的安全工具，企業安全團隊必須了解傳統安全修復工具和它們之間的基礎設施差異。在現在的企業安全辦公室，我們并不難找到報告不同類型安全數據（試圖查找問題的安全分析師會對這些數據感興趣）的各種安全工具，日志記錄工具、安全監控工具、外圍安全設備、應用程序訪問控制設備、配置系統、供應商風險分析程序、GRC產品等，這些工具收集了大量信息，企業安全團隊必須分解和規范化這些信息以確定安全風險。

雖然這些傳統工具針對其特定類型的控制提供了數據視圖，但這些系統的輸出往往不是統一的，又或者這些數據被分解成匯總數據，并被輸入到一個或者多個SIEM工具以在視覺上顯示安全團隊感興趣的預定事件。一旦確定了某個趨勢或者潛在事故，安全專業人士團隊就必須從大量輸出數據中篩選出證據以發現任何未經授權或惡意的活動。對于安全管理而言，這種“松散結合”的方法通常可行，但它速度很慢，很容易錯過良好偽裝的惡意事件，并且要在對大量歷史數據進行收集、分析和總結后，才能發現嚴重的安全事件。

相比之下，大數據安全環境的創建需要依賴于前面提到的工具，為安全信息輸入單一邏輯大數據安全信息倉庫。這種倉庫的優勢在于，它將數據作為更大的安全生態系統的一部分，這個安全生態系統具有強大的分析和趨勢分析工具來識別威脅，威脅需要通過檢查多個數據集才能被確認，而不像傳統的方法那樣---安全團隊通過虛擬放大鏡來篩選松散耦合的數據集。

保護大數據：基礎設施支持

當然在其核心，這種新環境將需要對基礎設施進行調整，使其能夠收集和分析數據。

為了創建支持大數據環境的基礎設施，我們需要一個安全且高速的網絡來收集很多安全系統數據源，從而滿足大數據收集要求。鑒于大數據基礎設施的虛擬化和分布式性質，企業需要將虛擬網絡作為底層通信基礎設施。此外，從承載大數據的角度來看，在數據中心和虛擬設備之間使用VLAN等技術作為虛擬主機（已經部署了虛擬交換機）內的網絡是最佳選擇。由于防火墻需要檢查通過防火墻的每個會話的每個數據包，它們成了大數據快速計算能力的瓶頸。因此，企業需要分離傳統用戶流量與構成大數據安全數據的流量。通過確保只有受信任的服務器流量流經加密網絡通道以及消除之間的傳統基礎設施防火墻，這個系統就能夠以所需要的不受阻礙的速度進行通信。

接著，這個安全數據倉庫的虛擬服務器需要受到保護。最好的做法是，確保這些服務器按照NIST標準進行加強，卸載不必要的服務（例如FTP工具）以及確保有一個良好的補丁管理流程。鑒于這些服務器上的數據的重要性，我們還需要為大數據中心部署備份服務。此外，這些備份還必須加密--無論是通過磁帶介質還是次級驅動器的備份，畢竟在很多時候，安全數據站點發生數據泄露事故都是因為備份媒介的丟失或者被盜。