互聯網上的安全風險越來越多，種類也越來越繁雜，現在每周新發現46,9000個惡意軟件樣本，它們大多目標明確，采用秘密的方式竊取機密數據，而且其自身還在不斷演進。據統計，有83%的企業遭受過高級持續性威脅的攻擊，而且到2015年通過網絡進行通信的設備將達150億。大數據時代安全架構在變得愈發復雜，安全需求也在持續增加，需要各種新興技術應對新型風險和威脅。但這勢必增加企業管理的復雜度，投資的復雜度并造成技術成本壓力。此時需要采取深度防御策略，并通過安全互聯的方式實現全面整體的安全防御，實時獲取安全信息，對其進行關聯性分析，更快、更早的發現安全威脅。

       新安全威脅下需要下一代SIEM

       SIEM，Security Information and Event Management，安全信息與事件管理。SIEM可以為來自企業和組織中所有IT資源（包括網絡、系統和應用）產生的安全信息（包括日志、告警等）進行統一的實時監控、歷史分析，對來自外部的入侵和內部的違規、誤操作行為進行監控、審計分析、調查取證、出具各種報表報告，實現IT資源合規性管理的目標，同時提升企業和組織的安全運營、威脅管理和應急響應能力。

       以往企業每天所產生的安全數據量還不是很多，而今企業每天都在產生大量的安全數據，而且有更多狡猾的安全威脅隱藏在這些數據背后，這就需要下一代SIEM能夠有更高、更強的性能去應對大數據，SIEM要能夠對大數據進行更具深度和廣度的挖掘，進而發現潛藏安全威脅的蛛絲馬跡。

       傳統SIEM并不是為大數據時代的安全所設計，其或者采用扁平化的數據存儲方式，或者采用關系型數據庫。以扁平化的方式存儲數據，讀寫速度快，但索引能力很差，在進行查詢或者分析操作時效率低下。關系型數據庫建立了很好的索引，極大提高了查詢性能，但其讀寫速度卻很差。“我們每秒鐘看到的事件是幾十萬的級別，傳統的SIEM可能只能應對幾萬的數據”， 邁克菲資深信息安全專家程智力認為傳統型的SIEM僅做了事件搜集的工作，而沒有對數據進行深度挖掘，無法識別上下文之間的信息以及數據背后的信息。

       程智力, 邁克菲資深信息安全專家

       大數據時代需要新型的SIEM，“要有非常好的專屬數據庫，既能夠很快的讀寫數據，也能夠實現快速的查詢工作”。下一代SIEM還要能夠識別更多上下文信息和數據背景，實現基于應用程序的識別。“知道事件背后操作的用戶是誰，其物理位置在哪里，用戶所使用的應用程序是什么，應用程序打開了哪個文檔，文檔里有哪些內容，我們要識別出應用程序里面的內容。”要識別應用，識別應用才能做到更深入的分析和安全呈現。下一代SIEM由于能對安全體系內的所有事件進行實時監測分析，所以當APT攻擊剛剛開始試探系統漏洞與弱點時，就能夠被及時發現，阻斷APT對系統的進一步威脅。而且，邁克菲的下一代SIEM借助其全球安全數據庫，能夠快速識別攻擊來源，從根本上攔截APT攻擊。

       大數據時代下選擇SIEM
   
       哪些企業需要SIEM，企業什么時候需要SIEM？程智力表示，沒有不需要SIEM的企業，只是看企業是否到了需要SIEM的時候。當企業還在進行基礎IT建設時，還不需要SIEM產品。而當其進行與大數據相關的業務時，就要考慮選擇SIEM了。當企業要進行更深入的數據挖掘、進行應用的數據挖掘時就需要借助SIEM來實現其需求。

       專業的安全管理人員有利于SIEM的順暢運行。搜集數據僅僅是SIEM的基礎功能，還需要對這些數據進行深入的挖掘分析，而這就需要具有專業的安全知識。在SIEM上線的初期，需要專業人員的指導，幫助進行安全評估、策略設定等等。SIEM主要提供發現問題的數據信息、解決問題的意見信息，具體執行還需要由專業安全人員進行，企業需要根據SIEM架構配置好合理的安全管理人員。

       用戶如果希望將其傳統SIEM產品升級成邁克菲的下一代SIEM產品，那么無需擔心數據遷移問題，邁克菲會幫助其對傳統數據進行重新格式化以及數據分析。而且這些服務都是免費進行的。

       2013年被認為是企業大規模采用大數據技術的一年，卻也是“網絡安全漏洞之年”。安全是大數據價值實現的根本，安全信息與事件管理（SIEM）作為智能安全系統中非常重要的領域，隨著大數據應用的逐步深入將迎來更多的發展機遇。