安全大数据分析：构建企业安全生态

文/梅正宇

大数据、移动、云计算、对安全人才的强烈需求等几大趋势正在重塑安全市场，信息安全的重要性愈加凸显。在当下复杂动态的威胁环境中，企业需要有一套整合且统一的安全策略。

随着移动设备、物联网、云计算、大数据和虚拟化等新技术的兴起，传统的安全边界逐渐模糊。如今，企业和安全解决方案提供商不断加大对终端安全、网关安全及数据中心安全的投入以应对愈加复杂且严峻的安全形势。

赛门铁克最新《互联网安全威胁报告》指出，网络攻击者的行动加快，超过80%的大型企业受到过网络攻击，超过60%的网络攻击针对中小型企业。“零日漏洞”威胁在2014年创历史新高，共有24个“零日漏洞”被检测出来，推出补丁前，前5大“零日漏洞”被攻击总时长达295天。

此外，用于大规模攻击的恶意软件呈现出激增状态，仅去年就新增3.17亿个恶意软件且恶意软件变得更加智能，28%的恶意软件可“感知虚拟机”而避免在沙盒被检测出来。

与此同时，数字勒索事件持续上升，勒索软件增加了113%，被劫持的设备数量增加了45倍，企业用户和消费者不得不为这些漏洞的威胁和风险买单。

关键趋势正在重塑企业安全市场

IT技术更新和用户行为改变不断推动安全市场的发展，大数据、移动、云计算、对安全人才的强烈需求等几大趋势正在重塑安全市场，信息安全的重要性愈加凸显。在当下复杂动态的威胁环境中，企业需要有一套整合且统一的安全策略，包括集成化的产品和覆盖生命周期的服务。

梅正宇赛门铁克公司亚太区大客户部副总裁兼大中华区总裁

图 赛门铁克产品战略布局

安全大数据分析至关重要

全球每天大大小小的数据中心和终端设备会产生出海量数据。如何从庞大的数据中分析其是否具有威胁并进行快速有效安全响应成为企业应对当下复杂环境的制胜法宝。

企业对安全大数据的需求愈发强烈，希望通过对安全大数据的分析量化风险，深入了解自身安全策略优缺点，从而实现更加完善的威胁防护。

通过全球最大数据智能网络之一（GIN）及九大数据中心、1.75亿个设备终端、超过150个国家的5700万个攻击传感器等核心资产，赛门铁克拥有对全球威胁的可视性和洞察力，实时掌握全球的安全大数据。基于这样的全球安全威胁信息收集网络，赛门铁克的统一安全分析平台可以为威胁防护、信息防护及网络安全服务提供基础设施并贯穿所有的产品。

赛门铁克的统一安全分析平台用于建立一个安全的生态环境。它由三部分组成：第一部分是安全大数据分析平台—通过大数据分析技术用于分析在全球范围内收集的安全大数据，并将对威胁的洞察转化为防护策略。

第二部分是统一安全应用—通过赛门铁克和第三方的生态系统，为众多用户场景提供建立在平台之上的数据及分析性应用。

第三部分是安全探测数据和API—由赛门铁克和第三方提供标准接口和API。无论是赛门铁克的解决方案还是第三方的产品或平台都可以利用安全大数据为客户提供防护解决方案。

赛门铁克统一安全分析平台拥有基础分析和分析模型做支撑，同时拥有安全大数据和安全智能情报并提供分析型应用，通过结合第三方力量，共同建立安全的生态环境。

终端设备再度复兴 安全防护需拓展

除了传统PC，快速发展的手机、平板设备及物联网设备极大拓展了企业对端点安全的需求。过去，很多企业认为数据库、数据中心和防火墙等更需要保护。但随着移动终端的普及，每个移动或物联网设备就是一个端点，端点安全显得越来越重要。

威胁防护一直以来都是企业的重点关注领域，企业希望实现全方位集成化防御、检测、取证和修复，且能够覆盖终端、网关、服务器、虚拟化、云工作模式，并确保本地管理和云端管理并存。

目前，针对性攻击和“零日漏洞”攻击等复杂且持续的高级威胁愈加猖狂，赛门铁克建议把针对高级威胁防御的技术覆盖到端点、数据中心、网关并形成全面的跨平台整套解决方案，这种多平台环境不仅是操作系统环境，还包括云环境、移动终端和物联网智能终端。

云采用率上升打破安全边界

越来越多的企业采用云作为下一步的IT策略，在降低IT成本，提高企业灵活性的同时也带来了潜在的风险。数据已不仅仅在一个个独立的系统中，企业现在不仅要考虑防火墙内的安全，还要考虑云环境和数据在本地和云之间迁移的安全及访问这些数据的终端安全。

企业需要针对内部的安全策略和信息防护解决方案，通过集成化的数据和身份保护、云和移动安全代理及集成化的加密、密钥管理，帮助企业保护自身的核心数据资产。赛门铁克能够为企业提供涵盖原本的信息防泄密、加密、身份访问等信息防护解决方案，并将防护拓展到云端和智能终端等更广阔的范围。威胁防护和信息防护是该解决方案的核心，对用户而言也是最具体、最实际的防护策略。

安全即服务不断增长

企业对安全人才的需求强烈，如何确保内部IT员工拥有专业的技能来保证企业结构的安全成为CIO们面临的挑战。同时，企业对专业安全外包服务的需求也逐步增高，希望通过专业的安全厂商提供涵盖威胁全生命周期（事前-事中-事后）的服务，提高在当下复杂环境中的防护能力。

在网络中，每天有大量的漏洞和威胁被发现，除了部署解决方案，企业还需要更专业的网络安全服务来帮助他们应对不断变化的复杂环境。赛门铁克提供包含威胁监控服务、事件响应服务、攻防模拟服务和安全大数据服务在内的一整套覆盖威胁全生命周期的服务。

事前，客户可通过全球资源和安全大数据实时了解全球威胁动态，对风险更好把控。事中，赛门铁克覆盖全球的数据中心（Security Operations Center）可提供7×24小时全天候发现和监测等安全监控服务。一旦发生威胁事件，赛门铁克还可提供应急事件响应服务，专家团队能够快速帮助企业评判、发现并解决问题。此外，企业还可按需发起全生命周期模拟攻防服务，以提升自身的防御能力。

图 统一的安全分析平台

图 全生命周期网络安全服务

企业须统一安全理念

基于这些趋势，赛门铁克倡导安全行业采用统一安全架构理念。第一，威胁防护是对外防御；第二，信息安全保护是对内保护；第三，采用统一的安全分析平台，安全大数据扮演重要角色；第四，网络安全服务，客户需专业团队在受到攻击前就将早期工作准备就绪，当受到攻击时能够快速解决攻击威胁。

赛门铁克看到整个安全环境的改变需要集成化的科技，因此从2000年到2014年，赛门铁克收购了很多针对不同领域的技术公司，并将收购的技术应用到解决方案中，所形成的整体方案是产品汇集和一定程度的集合。这里重点突出了两个核心：

第一，赛门铁克将这些技术整合成一种技术，运用在不同环境中和平台上。

第二，将同样的技术扩大适用范围，扩大端点和网关到数据中心到云，以达到更好的效果。在当前环境下，赛门铁克的统一安全架构不仅仅是产品的整合，更是以统一高效的方式帮助用户解决问题。

在实践中，有些客户认为，企业本身已经有安全管理中心并在企业中可能有不同品牌的产品，因此不再需要额外的安全大数据。

其实即便如此，企业可能仍需要安全大数据。凭借全球化的基础设施，赛门铁克积累了更多的数据收集和威胁分析，并帮助客户实现两个方面的突破：首先是帮助企业协调自身环境和建立自身环境。赛门铁克所提供的顾问服务可以帮助企业进行一些落地服务。其次是帮助企业把安全信息传到企业的环境中，这是考虑到企业也许有自己的架构，客户可以利用安全大数据来做防护。

安全大数据是赛门铁克向客户提供的核心资源，也是差异化的优势。赛门铁克还将重点关注如何在环境趋势不断变化的前提下，充分发挥业界最全产品线及覆盖全球的数据智能网络等优势，进一步整合产品，通过统一的安全分析平台，向用户提供更加完善的安全架构和解决方案，为行业构建一个开放、强大的安全生态环境。

责任编辑：吴崝

wang.liu@softic.com.cn