大數(shù)據(jù)能幫企業(yè)抓住網(wǎng)絡入侵者嗎?
讓大數(shù)據(jù)服務于企業(yè)信息安全的想法意味著更多的企業(yè)應用將基于開源軟件Hadoop的龐大的數(shù)據(jù)庫。這會導致在IT部門出現(xiàn)一個圍繞Hadoop的新型的“數(shù)據(jù)科學家”(數(shù)據(jù)分析師)的職位�����。安全專業(yè)人員和數(shù)據(jù)分析師現(xiàn)在也在討論大數(shù)據(jù)還將產(chǎn)生側重信息安全的數(shù)據(jù)科學家���。這些數(shù)據(jù)科學家將利用工具和知識準確地找到設法竊取敏感數(shù)據(jù)的隱蔽的入侵者的攻擊����。
在復雜的網(wǎng)絡中抓住網(wǎng)絡竊賊已經(jīng)證明是很困難的?���!按髷?shù)據(jù)”將提供新的希望。但是��,“大數(shù)據(jù)”能保證做到嗎?
咨詢機構企業(yè)管理協(xié)會的分析師斯科特·克勞福德(Scott Crawford)也這樣認為�����。他在舊金山舉行的RSA會議關于大數(shù)據(jù)和大數(shù)據(jù)如何幫助增強安全的分析師小組討論會上說:“統(tǒng)計分析將識別出異常情況�����,但是���,統(tǒng)計分析不理解安全��?���!?/span>
克勞福德預計最終將出現(xiàn)一個大數(shù)據(jù)的“安全算法市場”���。他指出�,Red Lambda和Palantir等公司目前正在解決這個問題。它們利用大量的算術分析以發(fā)現(xiàn)異常情況�����。
對于網(wǎng)絡內部行為正常網(wǎng)絡用戶來說��,企圖隱藏起來的惡毒的攻擊者一種異常行為���。攻擊者通常隱藏在正常用戶的后面。Gartner分析師尼爾·麥克唐納德(Neil MacDonald)在RSA小組會上發(fā)言稱����,目前,隱蔽的攻擊者正在通過傳統(tǒng)的防御措施�,如入侵防御系統(tǒng)、防火墻和殺毒軟件�。
麥克唐納德稱,這些滲透和竊取高度敏感數(shù)據(jù)的災難性的攻擊有時候稱作“高級的持續(xù)威脅”(APT)���。這種攻擊是能夠把自己的惡意行為有效地隱藏在網(wǎng)絡中的人類演員實施的�。我們還不知道在網(wǎng)絡中“好的”和“壞的”行為是什么樣子����。他指出�����,你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”�����。
分析師認為����,大數(shù)據(jù)正在為安全分析提供新的可能性���。這意味著目前使用的安全工具�����、安全信息與事件管理以及類似的不能解決這個問題的工具必須要發(fā)展��。
麥克唐納德稱����,在某種程度上���,這種發(fā)展現(xiàn)在已經(jīng)開始了��。他是指RSA的威脅檢測產(chǎn)品NetWitness和惠普的ArcSight SIM���。CrowdStrike等一些創(chuàng)業(yè)企業(yè)稱�,他們將用新的方式解決APT問題����。
但是,SIEM(安全信息和事件管理)的發(fā)展能夠處理與商務有關的大數(shù)據(jù)嗎?這個整個想法是不是一個愉快的假象?這個整個想法就是把更多的商務數(shù)據(jù)添加到來自各種防火墻�����、服務器����、入侵防御系統(tǒng)和類似產(chǎn)品的更傳統(tǒng)的SIEM數(shù)據(jù)中以便提高更有意義的關于入侵者的情報����。
市場研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱,人們不能從SIEM工具中得到自己需要的答案���。他表示將會出現(xiàn)一些新的東西�����。SIEM工具將是這些新東西的一部分�����。
在參加RSA小組討論會的分析師中��,企業(yè)戰(zhàn)略集團(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂觀的�。他認為大數(shù)據(jù)是解決APT問題的答案。
奧爾特辛克發(fā)表評論稱�����,我擔心的問題是我們將獲取更多的數(shù)據(jù)�,但是不知道用這些數(shù)據(jù)做什么。企業(yè)中的首席信息安全官目前還沒有宣傳大數(shù)據(jù)將促進安全的想法����。他說:“當我與首席信息安全官談話并且問到有關大數(shù)據(jù)的問題時,他們只是笑一笑���?!?/span>
不過��,一些大數(shù)據(jù)安全方法的早期應用者也表示有希望。
Zions Bancorporation公司已經(jīng)建立了一個大型數(shù)據(jù)庫���,對實時安全和商務數(shù)據(jù)結合在一起的數(shù)據(jù)進行預防性的分析���,以便識別釣魚攻擊,防止詐騙和阻止黑客入侵�。這個數(shù)據(jù)庫是在去年10月發(fā)布的,是以Zettaset數(shù)據(jù)庫為基礎的��。這個數(shù)據(jù)庫利用Hadoop工具數(shù)據(jù)密集型的分布式應用的分析��。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強SIM工具的一種方法并且為了安全目的分析大量的歷史的商務數(shù)據(jù)��。
包括NetIQ在內的SIEM廠商表示����,他們知道����,有關大數(shù)據(jù)和安全的議論才剛剛開始。
NetIQ產(chǎn)品管理主管馬特·尤萊里(Matt Ulery)稱��,這是SIEM的發(fā)展方向����。他說�����,這個行業(yè)正在通過集成商務智能開始重新發(fā)明SIEM技術���。大數(shù)據(jù)能夠檢測到異常情況。尤萊里指出�,該公司的Sentinel 7.0集成了更多的數(shù)據(jù)環(huán)境。
尤萊里針對攻擊者將接管一個賬戶的事情問到:“你如何定義好的行為?因此�����,這個問題就是那是一位員工�,還是一個攻擊者?”隱蔽的攻擊行動最多每天會出現(xiàn)幾秒鐘。因此���,這個目標就是區(qū)分可信賴的內部人員和攻擊者���。大數(shù)據(jù)在這方面會提供許多幫助。
但是��,尤萊里補充說�����,有許多現(xiàn)實的理由說明為什么用于安全的大數(shù)據(jù)概念將遇到許多障礙。
一個現(xiàn)實的障礙是目前把企業(yè)數(shù)據(jù)放在云計算中的努力����。這將使傳統(tǒng)的SIEM方法更加困難。SIEM方法一直在企業(yè)內部網(wǎng)絡中應用���。另一個障礙是對大數(shù)據(jù)抱希望的安全經(jīng)理們要制定數(shù)據(jù)管理戰(zhàn)略并且推薦非常高級的技術����。在還有許其它的多企業(yè)問題需要解決的時代����,增加大數(shù)據(jù)問題可能是一個很難說服人的問題。目前����,在工作場所使用員工自帶的移動設備(BYOD)已經(jīng)是企業(yè)的一個重大的管理問題�。cda數(shù)據(jù)分析師培訓
CDA數(shù)據(jù)分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試,點擊>>>
“CDA報名”
了解CDA考試詳情���;
? 想學習CDA考試教材�����,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫���,點擊>>> “CDA題庫” 了解CDA考試詳情���;
? 想了解CDA考試含金量,點擊>>> “CDA含金量” 了解CDA考試詳情��;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330