安全圈子中最近熱議的“大數(shù)據(jù)”話題是:如果企業(yè)把自己的與安全有關(guān)的事件數(shù)據(jù)與業(yè)務(wù)信息庫結(jié)合起來,企業(yè)就能通過分析這個大數(shù)據(jù)來抓住竊取敏感信息的入侵者�����。
讓大數(shù)據(jù)服務(wù)于企業(yè)信息安全的想法意味著更多的企業(yè)應(yīng)用將基于開源軟件Hadoop的龐大的數(shù)據(jù)庫�����。這會導(dǎo)致在IT部門出現(xiàn)一個圍繞Hadoop的新型的“數(shù)據(jù)科學(xué)家”的職位。安全專業(yè)人員和分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生側(cè)重信息安全的數(shù)據(jù)科學(xué)家�����。這些數(shù)據(jù)科學(xué)家將利用工具和知識準(zhǔn)確地找到設(shè)法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊���。
在復(fù)雜的網(wǎng)絡(luò)中抓住網(wǎng)絡(luò)竊賊已經(jīng)證明是很困難的���。“大數(shù)據(jù)”將提供新的希望�����。但是�,“大數(shù)據(jù)”能保證做到嗎?
咨詢機(jī)構(gòu)企業(yè)管理協(xié)會的分析師斯科特·克勞福德(Scott Crawford)也這樣認(rèn)為。他在舊金山舉行的RSA會議關(guān)于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強(qiáng)安全的分析師小組討論會上說:“統(tǒng)計分析將識別出異常情況�,但是�����,統(tǒng)計分析不理解安全������!
克勞福德預(yù)計最終將出現(xiàn)一個大數(shù)據(jù)的“安全算法市場”��。他指出��,Red Lambda和Palantir等公司目前正在解決這個問題����。它們利用大量的算術(shù)分析以發(fā)現(xiàn)異常情況。
對于網(wǎng)絡(luò)內(nèi)部行為正常網(wǎng)絡(luò)用戶來說�����,企圖隱藏起來的惡毒的攻擊者一種異常行為����。攻擊者通常隱藏在正常用戶的后面���。Gartner分析師尼爾·麥克唐納德(Neil MacDonald)在RSA小組會上發(fā)言稱�����,目前���,隱蔽的攻擊者正在通過傳統(tǒng)的防御措施�,如入侵防御系統(tǒng)�、防火墻和殺毒軟件。
麥克唐納德稱�����,這些滲透和竊取高度敏感數(shù)據(jù)的災(zāi)難性的攻擊有時候稱作“高級的持續(xù)威脅”(APT)�����。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡(luò)中的人類演員實施的��。我們還不知道在網(wǎng)絡(luò)中“好的”和“壞的”行為是什么樣子���。他指出�����,你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”�。
分析師認(rèn)為,大數(shù)據(jù)正在為安全分析提供新的可能性����。這意味著目前使用的安全工具、安全信息與事件管理以及類似的不能解決這個問題的工具必須要發(fā)展�����。
麥克唐納德稱�����,在某種程度上����,這種發(fā)展現(xiàn)在已經(jīng)開始了。他是指RSA的威脅檢測產(chǎn)品NetWitness和惠普的ArcSight SIM�����。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱�����,他們將用新的方式解決APT問題���。
但是�,SIEM(安全信息和事件管理)的發(fā)展能夠處理與商務(wù)有關(guān)的大數(shù)據(jù)嗎?這個整個想法是不是一個愉快的假象?這個整個想法就是把更多的商務(wù)數(shù)據(jù)添加到來自各種防火墻�����、服務(wù)器�����、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關(guān)于入侵者的情報����。
市場研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱,人們不能從SIEM工具中得到自己需要的答案�。他表示將會出現(xiàn)一些新的東西。SIEM工具將是這些新東西的一部分��。
在參加RSA小組討論會的分析師中���,企業(yè)戰(zhàn)略集團(tuán)(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂觀的�。他認(rèn)為大數(shù)據(jù)是解決APT問題的答案�����。
奧爾特辛克發(fā)表評論稱,我擔(dān)心的問題是我們將獲取更多的數(shù)據(jù)��,但是不知道用這些數(shù)據(jù)做什么����。企業(yè)中的首席信息安全官目前還沒有宣傳大數(shù)據(jù)將促進(jìn)安全的想法。他說:“當(dāng)我與首席信息安全官談話并且問到有關(guān)大數(shù)據(jù)的問題時�����,他們只是笑一笑�����!
不過��,一些大數(shù)據(jù)安全方法的早期應(yīng)用者也表示有希望����。
Zions Bancorporation公司已經(jīng)建立了一個大型數(shù)據(jù)庫�,對實時安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進(jìn)行預(yù)防性的分析,以便識別釣魚攻擊,防止詐騙和阻止黑客入侵�。這個數(shù)據(jù)庫是在去年10月發(fā)布的,是以Zettaset數(shù)據(jù)庫為基礎(chǔ)的��。這個數(shù)據(jù)庫利用Hadoop工具數(shù)據(jù)密集型的分布式應(yīng)用的分析�。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強(qiáng)SIM工具的一種方法并且為了安全目的分析大量的歷史的商務(wù)數(shù)據(jù)��。
包括NetIQ在內(nèi)的SIEM廠商表示�����,他們知道���,有關(guān)大數(shù)據(jù)和安全的議論才剛剛開始���。
NetIQ產(chǎn)品管理主管馬特·尤萊里(Matt Ulery)稱,這是SIEM的發(fā)展方向�。他說,這個行業(yè)正在通過集成商務(wù)智能開始重新發(fā)明SIEM技術(shù)��。大數(shù)據(jù)能夠檢測到異常情況���。尤萊里指出��,該公司的Sentinel 7.0集成了更多的數(shù)據(jù)環(huán)境�。
尤萊里針對攻擊者將接管一個賬戶的事情問到:“你如何定義好的行為?因此,這個問題就是那是一位員工���,還是一個攻擊者?”隱蔽的攻擊行動最多每天會出現(xiàn)幾秒鐘���。因此,這個目標(biāo)就是區(qū)分可信賴的內(nèi)部人員和攻擊者��。大數(shù)據(jù)在這方面會提供許多幫助�����。
但是��,尤萊里補充說��,有許多現(xiàn)實的理由說明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙���。
一個現(xiàn)實的障礙是目前把企業(yè)數(shù)據(jù)放在云計算中的努力��。這將使傳統(tǒng)的SIEM方法更加困難���。SIEM方法一直在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用�。另一個障礙是對大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級的技術(shù)����。在還有許其它的多企業(yè)問題需要解決的時代,增加大數(shù)據(jù)問題可能是一個很難說服人的問題���。目前����,在工作場所使用員工自帶的移動設(shè)備(BYOD)已經(jīng)是企業(yè)的一個重大的管理問題�。
咨詢熱線:0791-87557233
