大數(shù)據(jù)能幫企業(yè)抓住網(wǎng)絡(luò)入侵者嗎?
讓大數(shù)據(jù)服務(wù)于企業(yè)信息安全的想法意味著更多的企業(yè)應(yīng)用將基于開源軟件Hadoop的龐大的數(shù)據(jù)庫(kù)�����。這會(huì)導(dǎo)致在IT部門出現(xiàn)一個(gè)圍繞Hadoop的新型的“數(shù)據(jù)科學(xué)家”(數(shù)據(jù)分析師)的職位。安全專業(yè)人員和數(shù)據(jù)分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生側(cè)重信息安全的數(shù)據(jù)科學(xué)家����。這些數(shù)據(jù)科學(xué)家將利用工具和知識(shí)準(zhǔn)確地找到設(shè)法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊。
在復(fù)雜的網(wǎng)絡(luò)中抓住網(wǎng)絡(luò)竊賊已經(jīng)證明是很困難的���?����!按髷?shù)據(jù)”將提供新的希望���。但是�����,“大數(shù)據(jù)”能保證做到嗎?
咨詢機(jī)構(gòu)企業(yè)管理協(xié)會(huì)的分析師斯科特·克勞福德(Scott Crawford)也這樣認(rèn)為����。他在舊金山舉行的RSA會(huì)議關(guān)于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強(qiáng)安全的分析師小組討論會(huì)上說:“統(tǒng)計(jì)分析將識(shí)別出異常情況,但是��,統(tǒng)計(jì)分析不理解安全?�!?/span>
克勞福德預(yù)計(jì)最終將出現(xiàn)一個(gè)大數(shù)據(jù)的“安全算法市場(chǎng)”���。他指出�,Red Lambda和Palantir等公司目前正在解決這個(gè)問題���。它們利用大量的算術(shù)分析以發(fā)現(xiàn)異常情況�。
對(duì)于網(wǎng)絡(luò)內(nèi)部行為正常網(wǎng)絡(luò)用戶來說���,企圖隱藏起來的惡毒的攻擊者一種異常行為����。攻擊者通常隱藏在正常用戶的后面��。Gartner分析師尼爾·麥克唐納德(Neil MacDonald)在RSA小組會(huì)上發(fā)言稱���,目前��,隱蔽的攻擊者正在通過傳統(tǒng)的防御措施�����,如入侵防御系統(tǒng)��、防火墻和殺毒軟件���。
麥克唐納德稱����,這些滲透和竊取高度敏感數(shù)據(jù)的災(zāi)難性的攻擊有時(shí)候稱作“高級(jí)的持續(xù)威脅”(APT)����。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡(luò)中的人類演員實(shí)施的。我們還不知道在網(wǎng)絡(luò)中“好的”和“壞的”行為是什么樣子�。他指出,你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”��。
分析師認(rèn)為�,大數(shù)據(jù)正在為安全分析提供新的可能性。這意味著目前使用的安全工具��、安全信息與事件管理以及類似的不能解決這個(gè)問題的工具必須要發(fā)展�。
麥克唐納德稱����,在某種程度上�,這種發(fā)展現(xiàn)在已經(jīng)開始了�����。他是指RSA的威脅檢測(cè)產(chǎn)品NetWitness和惠普的ArcSight SIM���。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱����,他們將用新的方式解決APT問題�。
但是,SIEM(安全信息和事件管理)的發(fā)展能夠處理與商務(wù)有關(guān)的大數(shù)據(jù)嗎?這個(gè)整個(gè)想法是不是一個(gè)愉快的假象?這個(gè)整個(gè)想法就是把更多的商務(wù)數(shù)據(jù)添加到來自各種防火墻���、服務(wù)器���、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關(guān)于入侵者的情報(bào)。
市場(chǎng)研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱����,人們不能從SIEM工具中得到自己需要的答案。他表示將會(huì)出現(xiàn)一些新的東西�。SIEM工具將是這些新東西的一部分。
在參加RSA小組討論會(huì)的分析師中,企業(yè)戰(zhàn)略集團(tuán)(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂觀的�。他認(rèn)為大數(shù)據(jù)是解決APT問題的答案。
奧爾特辛克發(fā)表評(píng)論稱�,我擔(dān)心的問題是我們將獲取更多的數(shù)據(jù),但是不知道用這些數(shù)據(jù)做什么�。企業(yè)中的首席信息安全官目前還沒有宣傳大數(shù)據(jù)將促進(jìn)安全的想法。他說:“當(dāng)我與首席信息安全官談話并且問到有關(guān)大數(shù)據(jù)的問題時(shí)�,他們只是笑一笑?����!?/span>
不過��,一些大數(shù)據(jù)安全方法的早期應(yīng)用者也表示有希望��。
Zions Bancorporation公司已經(jīng)建立了一個(gè)大型數(shù)據(jù)庫(kù)�����,對(duì)實(shí)時(shí)安全和商務(wù)數(shù)據(jù)結(jié)合在一起的數(shù)據(jù)進(jìn)行預(yù)防性的分析����,以便識(shí)別釣魚攻擊,防止詐騙和阻止黑客入侵�。這個(gè)數(shù)據(jù)庫(kù)是在去年10月發(fā)布的,是以Zettaset數(shù)據(jù)庫(kù)為基礎(chǔ)的��。這個(gè)數(shù)據(jù)庫(kù)利用Hadoop工具數(shù)據(jù)密集型的分布式應(yīng)用的分析��。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強(qiáng)SIM工具的一種方法并且為了安全目的分析大量的歷史的商務(wù)數(shù)據(jù)�。
包括NetIQ在內(nèi)的SIEM廠商表示,他們知道����,有關(guān)大數(shù)據(jù)和安全的議論才剛剛開始。
NetIQ產(chǎn)品管理主管馬特·尤萊里(Matt Ulery)稱����,這是SIEM的發(fā)展方向。他說���,這個(gè)行業(yè)正在通過集成商務(wù)智能開始重新發(fā)明SIEM技術(shù)����。大數(shù)據(jù)能夠檢測(cè)到異常情況��。尤萊里指出��,該公司的Sentinel 7.0集成了更多的數(shù)據(jù)環(huán)境��。
尤萊里針對(duì)攻擊者將接管一個(gè)賬戶的事情問到:“你如何定義好的行為?因此,這個(gè)問題就是那是一位員工�����,還是一個(gè)攻擊者?”隱蔽的攻擊行動(dòng)最多每天會(huì)出現(xiàn)幾秒鐘�。因此,這個(gè)目標(biāo)就是區(qū)分可信賴的內(nèi)部人員和攻擊者�。大數(shù)據(jù)在這方面會(huì)提供許多幫助。
但是�,尤萊里補(bǔ)充說,有許多現(xiàn)實(shí)的理由說明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙�。
一個(gè)現(xiàn)實(shí)的障礙是目前把企業(yè)數(shù)據(jù)放在云計(jì)算中的努力。這將使傳統(tǒng)的SIEM方法更加困難���。SIEM方法一直在企業(yè)內(nèi)部網(wǎng)絡(luò)中應(yīng)用���。另一個(gè)障礙是對(duì)大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級(jí)的技術(shù)。在還有許其它的多企業(yè)問題需要解決的時(shí)代�,增加大數(shù)據(jù)問題可能是一個(gè)很難說服人的問題。目前���,在工作場(chǎng)所使用員工自帶的移動(dòng)設(shè)備(BYOD)已經(jīng)是企業(yè)的一個(gè)重大的管理問題���。cda數(shù)據(jù)分析師培訓(xùn)
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試����,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情�����;
? 想學(xué)習(xí)CDA考試教材��,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫(kù)�,點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情���;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情��;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330