今年は、グローバル企業においてビッグデータ技術の大規模な導入が見られました。しかし同時に、ビッグデータ技術の導入はセキュリティ管理に新たな課題をもたらし、なんと83%の組織が高度な持続的脅威からの攻撃を受けたことがあります。
ビッグデータ環境において企業が直面するセキュリティ問題に直面したとき、SIEMプラットフォームを通じて、企業が初めてリスク判断を下せるようにするには?ビッグデータ環境における従来のセキュリティ情報とイベント管理の欠点は何ですか?ビッグデータの応用が徐々に深化するにつれて、SIEMは新たな変化を遂げ、より多くの発展のチャンスを迎えるでしょう。
ビッグデータ・システムは安全な相互接続の価値を強調
ビッグデータ時代の今日、セキュリティ・アーキテクチャは複雑化し、企業管理の複雑さを増しています。このようなアーキテクチャでは、アーキテクチャが互いに分断されていると、個々のシステムで貴重な脅威情報を捉えてアラームを発することができません。そのため、攻撃者は必要な情報を盗むためにセキュリティホールを試し続けることができます。逆に、セキュリティの相互接続があれば、一見取るに足らないようなセキュリティ・イベントでも、他の無関係なイベントと統合してアラームを形成することができます。このように、攻撃者は、それぞれの試みが全体的なアラームを形成する可能性があるため、安易な試みはできなくなります。
セキュアなコネクテッド・プラットフォームとは?マカフィーのシニア情報セキュリティエキスパートの程志は、今日のIT環境では、企業はボーダレスネットワークを識別する必要があると述べました。セキュリティの相互接続プラットフォームは、最初の可視性の必要性は、ネットワーク内のものを理解するために、モニターとカメラシステムに似ている必要があります。ビッグデータ環境では、継続的なセキュリティ管理と応答を行うには、手動での管理に頼ることは大きな負担になりますが、技術的な手段やプラットフォームに基づいている場合は、はるかに簡単に行うには、これを行うには、最も基本的なセキュリティの相互接続です。
可視化の実現とアラートの実装は、セキュリティ相互接続プラットフォーム・アーキテクチャ全体の重要かつ基本的な部分であり、セキュリティ情報・イベント管理システムは非常に重要です。レポーティングとコンプライアンスのみに焦点を当てた従来の SIEM は、今日の脅威環境では明らかに手薄です。ネットワーク全体の異常をより包括的に把握し、アプリケーション層でどのようにデータ盗難が発生しているかを理解し、プロトコル層やドキュメント層での保護を強化する必要があります。McAfee Asia Pacificのバイスプレジデント兼CTOであるMichael Sentonasの意見では、上記の機能を脅威情報データベースと統合し、エンドポイント、ネットワーク、データベースからのセキュリティデータをリアルタイムで分析することは、将来のSIEM製品やソリューションの革新的で革新的な方向性になるでしょう。
マカフィー次世代SIEMの方法
4年前、McAfeeの製品は100%の統合と統合を達成することができました。そこでMcAfeeは、Security Interconnectというコンセプトを正式に提案しました。マカフィーのSecurity Interconnectの全体的な目標は、すべての製品を統合・集約し、単一の管理コンソールからさまざまなポリシーを管理できるようにすることです。Secure Connectプラットフォームの立ち上げは、Secure Connect戦略全体における画期的なステップであり、さまざまなテクノロジーのより良い統合、リアルタイムのインテリジェントな脅威情報の分析、これらの攻撃に対するより良い対応を可能にします。
マカフィーセキュアインターネットプラットフォームは、ハードウェアアーキテクチャ層、データ/オートメーション層、セキュリティ管理プラットフォーム、対策層、データ分析層で構成されています。ハードウェア面では、親会社であるインテルのプロアクティブ管理技術を組み合わせ、オペレーティングシステムの下でハードウェアレベルに基づくセキュリティ保護を実現するディープセキュリティ保護アーキテクチャ「Deep SAFEアーキテクチャ」を発表。セキュリティ相互接続プラットフォームにおいて、マカフィーの次世代SIEM Nitroシステムの役割は極めて重要です。 管理プラットフォームがアーキテクチャとシャーシであるとすれば、Nitroはすべてのコンポーネントの中核となるエンジンです。Nitroは、異なるセキュリティ管理システムとイベントを効果的に収集、整理し、標準化することができます。そして、相関関係の提案と企業自身のセキュリティリスク状況に応じて、企業はセキュリティ管理システムの中核となる独自のセキュリティ管理システムに統合することができます。Nitroは、さまざまなセキュリティ管理システムやイベントを効果的に収集・標準化し、マカフィーのセキュリティ専門家による相関関係の提案と企業自身のセキュリティリスク状況に応じて、わかりやすいセキュリティアラートに統合する、つまり、セキュリティ脅威データを理解しやすい言語に変換することができます。
マカフィーセキュアインターネットプラットフォーム
次世代SIEMは従来のSIEMと何が違うのでしょうか?McAfeeの次世代SIEMの最大の変更点はパフォーマンスだとCheng Zhiqi氏は言います。従来のSIEMはビッグデータセキュリティの時代に合わせて設計されておらず、そのデータベースはフラットファイル型データとリレーショナル型データの両方を使用しています。フラットファイル・タイプのデータベースは、非常に高速に書き込むことができますが、インデックス作成能力が低く、クエリーや分析を行う際に非効率的です。リレーショナル・データベースはインデックス作成には適していますが、読み書きには時間がかかります。ビッグデータの時代には、毎秒、膨大な数のイベントが発生しており、従来のSIEMでは対応しきれません。次世代SIEMは、非常に優れた独自のデータベースを備えており、データの読み書きが非常に速いだけでなく、高速なクエリを実行できるため、ビッグデータセキュリティ時代の特徴に対応できます。従来のSIEMが見ているのは、多くの場合、時間、場所、ターゲット、IPアドレス、イベントのつまらない孤立した説明だけで、イベントがどのユーザーから来たのか、物理的な情報はなく、これらのイベントとインターネット上のセキュリティイベントとの相関関係の説明もありません、イベントを操作したユーザ、ユーザがイベントを実行するために使用したアプリケーション、物理的な場所。アプリケーションを特定することによってのみ、より詳細な分析とセキュリティの提示が可能になります。
