IDC預(yù)測(cè)，到2020年，云安全、互聯(lián)網(wǎng)安全和大數(shù)據(jù)安全將成為信息安全市場(chǎng)的三大支柱，而大數(shù)據(jù)安全又是未來(lái)保證企業(yè)安全的重中之重。早在兩年前，Gartner也已經(jīng)預(yù)言，安全的邊界會(huì)越來(lái)越模糊，大數(shù)據(jù)將成為解決安全問(wèn)題的關(guān)鍵所在。而且Gartner的數(shù)據(jù)顯示，過(guò)去企業(yè)將安全預(yù)算的90%投入在防御方面，而今后60%的安全預(yù)算將用于偵測(cè)與響應(yīng)。

　　所以，現(xiàn)在一些老牌的信息安全企業(yè)加速向大數(shù)據(jù)安全、云安全和互聯(lián)網(wǎng)安全的方向轉(zhuǎn)型，而同時(shí)還有一些新型的安全公司冒了出來(lái)，在大數(shù)據(jù)安全的應(yīng)用上頗有收獲。未來(lái)，大數(shù)據(jù)安全的看點(diǎn)多多。

　　看點(diǎn)一：企業(yè)專有大數(shù)據(jù)安全分析產(chǎn)品

　　對(duì)于當(dāng)前激烈的企業(yè)競(jìng)爭(zhēng)來(lái)說(shuō)，大數(shù)據(jù)成為商界領(lǐng)導(dǎo)者們最為關(guān)注的方向。

　　瀚思安信認(rèn)為，基于大數(shù)據(jù)框架對(duì)企業(yè)的系統(tǒng)、應(yīng)用和用戶訪問(wèn)行為數(shù)據(jù)進(jìn)行存儲(chǔ)與分析，并采用機(jī)器學(xué)習(xí)和算法來(lái)檢測(cè)異常行為，是業(yè)界公認(rèn)的抵御新型外部攻擊（APT）和內(nèi)部人員惡意竊取核心數(shù)據(jù)的最有效方式，可以最大限度地保護(hù)企業(yè)信息資產(chǎn)安全。基于這樣的理念，翰思安信推出了下一代大數(shù)據(jù)安全分析平臺(tái)HanSight Enterprise。

　　HanSight Enterprise是面向大企業(yè)級(jí)用戶的收費(fèi)平臺(tái)，具備三個(gè)優(yōu)勢(shì)功能：第一，數(shù)據(jù)采集。瀚思安信自帶的日志采集器可以獲取網(wǎng)絡(luò)與安全設(shè)備日志、操作系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫(kù)日志或是任何有時(shí)間戳的數(shù)據(jù)源。同時(shí)，瀚思安信也支持對(duì)網(wǎng)絡(luò)流（NetFlow）的采集。

　　第二，數(shù)據(jù)存儲(chǔ)和關(guān)聯(lián)分析。瀚思安信的解決方案能夠?yàn)榉治瞿K提供實(shí)時(shí)或者長(zhǎng)期的關(guān)聯(lián)分析。系統(tǒng)對(duì)硬件的要求也不高，能直接在通用x86硬件設(shè)備上運(yùn)行，并具備非常高的吞吐量、數(shù)據(jù)壓縮率和持久的大規(guī)模數(shù)據(jù)存儲(chǔ)能力。系統(tǒng)提供了跨越多個(gè)數(shù)據(jù)源和系統(tǒng)的事件關(guān)聯(lián)分析能力，不論是實(shí)時(shí)關(guān)聯(lián)分析還是基于歷史數(shù)據(jù)的關(guān)聯(lián)分析。

　　第三，安全智能分析。安全分析是瀚思安信的靈魂，通過(guò)對(duì)大量的歷史日志信息進(jìn)行機(jī)器學(xué)習(xí)與算法分析來(lái)偵測(cè)出異常行為模式和隱藏的威脅，無(wú)論是外部APT攻擊，還是內(nèi)部人員泄密。通過(guò)過(guò)濾和分析大而復(fù)雜的數(shù)據(jù)集，洞徹安全威脅的變化。

　　點(diǎn)評(píng)：國(guó)際上知名安全公司的大數(shù)據(jù)安全拳頭產(chǎn)品有Fireeye，HP ArcSight和Splunk Enterprise Security，瀚思安信的HanSight Enterprise功能和定位與之相似，都是對(duì)企業(yè)整個(gè)流量的監(jiān)控和安全分析，或多或少涉及對(duì)第三方安全日志、網(wǎng)絡(luò)流、第三方應(yīng)用日志流量的分析。瀚思安信的聯(lián)合創(chuàng)始人兼首席運(yùn)營(yíng)官董昕稱，瀚思安信在處理的數(shù)據(jù)量、對(duì)外部威脅的偵測(cè)能力、對(duì)內(nèi)部異常行為的偵測(cè)等都要好于那些國(guó)際知名公司的知名產(chǎn)品。

　　當(dāng)然，僅憑瀚思安信自己的說(shuō)辭并不能證明其大數(shù)據(jù)安全分析能力的優(yōu)勢(shì)，這個(gè)上線才1年的產(chǎn)品還需要更多的應(yīng)用來(lái)證明，正如這家成立不到2年的公司今后發(fā)展軌跡如何也需要時(shí)間來(lái)證明一樣。不過(guò)，目前國(guó)內(nèi)某銀行的網(wǎng)銀系統(tǒng)采用了HanSight Enterprise，找出了很多以前用戶沒(méi)有發(fā)現(xiàn)的內(nèi)部和外部的攻擊。

　　看點(diǎn)二：探測(cè)全網(wǎng)絡(luò)的大數(shù)據(jù)安全分析平臺(tái)

　　對(duì)于當(dāng)前激烈的企業(yè)競(jìng)爭(zhēng)來(lái)說(shuō)，大數(shù)據(jù)成為商界領(lǐng)導(dǎo)者們最為關(guān)注的方向。

　　在網(wǎng)絡(luò)安全領(lǐng)域耕耘多年的知道創(chuàng)宇，有兩個(gè)主要的大數(shù)據(jù)安全分析產(chǎn)品：ZoomEye和加速樂(lè)。

　　ZoomEye是對(duì)網(wǎng)絡(luò)空間（包括網(wǎng)頁(yè)和主機(jī)的端口）進(jìn)行主動(dòng)性的探測(cè)搜索，看是否有漏洞。這樣做的目的是要比黑客更早地發(fā)現(xiàn)風(fēng)險(xiǎn)，并反饋給用戶。而且通過(guò)ZoomEye，知道創(chuàng)宇還可以針對(duì)每次安全事件進(jìn)行影響范圍定位以及漏洞修復(fù)過(guò)程的跟蹤，能比其他安全公司更早地掌握安全事件的真實(shí)情況。

　　加速樂(lè)云防御平臺(tái)在大數(shù)據(jù)方向主要應(yīng)用于對(duì)黑客攻擊行為的跟蹤、定位。知道創(chuàng)宇副總裁余弦稱，目前每天通過(guò)加速樂(lè)平臺(tái)分析的數(shù)據(jù)有近20億條，其中約有超過(guò)1億次的攻擊數(shù)據(jù)，從這些攻擊數(shù)據(jù)中，安全研究人員能分析出黑客攻擊的網(wǎng)站、使用的手法、漏洞的類型等等，達(dá)到正向防御的效果。作為一個(gè)免費(fèi)使用的防御平臺(tái)，加速樂(lè)每天吸引超過(guò)500個(gè)企業(yè)加入。加入的企業(yè)越多，加速樂(lè)獲得的分析數(shù)據(jù)也越多，捕捉到的黑客行為軌跡也越準(zhǔn)確。

　　點(diǎn)評(píng)：知道創(chuàng)宇專注于網(wǎng)絡(luò)安全，分析的流量主要是HTTP流量，面對(duì)的安全服務(wù)對(duì)象是網(wǎng)站，而不是企業(yè)的整體安全。和HanSight Enterprise、Fireeye，HP ArcSight，Splunk Enterprise Security不同，知道創(chuàng)宇的大數(shù)據(jù)安全分析平臺(tái)只分析HTTP流量，定位也不是APT檢測(cè)，而是防御。它也適合應(yīng)用在公有云環(huán)境中，為網(wǎng)絡(luò)安全防御服務(wù)。

　　看點(diǎn)三：嵌入硬件平臺(tái)的大數(shù)據(jù)安全分析產(chǎn)品

　　對(duì)于當(dāng)前激烈的企業(yè)競(jìng)爭(zhēng)來(lái)說(shuō)，大數(shù)據(jù)成為商界領(lǐng)導(dǎo)者們最為關(guān)注的方向。

　　啟明星辰的大數(shù)據(jù)安全分析平臺(tái)TSOC-BDSAP和HanSight Enterprise類似，也是在客戶的異構(gòu)海量數(shù)據(jù)如事件、網(wǎng)絡(luò)原始流量、文件等信息中，結(jié)合關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、實(shí)時(shí)分析、歷史分析和人機(jī)交互等多種分析方法，發(fā)現(xiàn)傳統(tǒng)的安全產(chǎn)品無(wú)法檢測(cè)的安全攻擊和威脅，例如APT攻擊。

　　啟明星辰泰合產(chǎn)品本部總經(jīng)理葉蓬稱，TSOC-BDSAP主要面向大型企業(yè)級(jí)市場(chǎng)，尤其是金融、能源、電力、運(yùn)營(yíng)商行業(yè)。其次是面向政府行業(yè)，尤其是政務(wù)云環(huán)境下的大數(shù)據(jù)安全分析。選擇大型企業(yè)級(jí)市場(chǎng)是因?yàn)檫@類單位基本實(shí)現(xiàn)了業(yè)務(wù)和網(wǎng)絡(luò)的大集中，并且有切實(shí)的天量安全數(shù)據(jù)需要處理和分析，存在較高的APT風(fēng)險(xiǎn)。這些客戶需要有全新的技術(shù)手段來(lái)提升現(xiàn)有安全防護(hù)和安全對(duì)抗的水平。選擇政務(wù)云環(huán)境，是因?yàn)樵谡?wù)云環(huán)境下的安全具有顯著的大數(shù)據(jù)分析需求和條件，一些經(jīng)典的大數(shù)據(jù)安全分析場(chǎng)景可以得到實(shí)際的運(yùn)用。

　　目前，TSOC-BDSAP已經(jīng)在幾個(gè)企業(yè)級(jí)客戶中進(jìn)行了測(cè)試、試用和試點(diǎn)，并中標(biāo)了兩個(gè)政務(wù)云的大數(shù)據(jù)安全項(xiàng)目。

　　不過(guò)，葉蓬也指出，目前國(guó)內(nèi)應(yīng)用大數(shù)據(jù)安全分析平臺(tái)基本處于調(diào)研和試點(diǎn)的階段，尚未大規(guī)模應(yīng)用，但是隨著整個(gè)大數(shù)據(jù)生態(tài)的完備，以及對(duì)于網(wǎng)絡(luò)與信息安全訴求的日益迫切，這個(gè)市場(chǎng)將很快迎來(lái)爆發(fā)期。

　　點(diǎn)評(píng)：?jiǎn)⒚餍浅绞菄?guó)內(nèi)信息安全龍頭企業(yè)，在安全解決方案上既有硬件平臺(tái)，也有軟件平臺(tái)，還有一大批政企客戶資源。這些客戶的信息化正處于向私有云轉(zhuǎn)型的階段，啟明星辰在此轉(zhuǎn)型時(shí)機(jī)推出私有云安全的軟硬方案，而方案中自然會(huì)嵌入啟明星辰自己的TSOC-BDSAP，TSOC-BDSAP在推廣上相對(duì)更加容易一點(diǎn)。