大數(shù)據(jù)分析:安全防御的制勝法寶
隨著大數(shù)據(jù)價值的凸顯,大數(shù)據(jù)分析的運用也越來越廣泛�,在信息安全領(lǐng)域�,大數(shù)據(jù)分析已經(jīng)成為公認的制勝法寶��,特別是針對高級持續(xù)性威脅(APT)�����。大數(shù)據(jù)分析方法給安全分析���、安全預(yù)警���、安全管理、安全防護帶來了新思路�、新機遇,它可能會改變未來信息安全的技術(shù)格局�����。
過去的一年�����,整個IT領(lǐng)域都在談?wù)摯髷?shù)據(jù)�����,大數(shù)據(jù)甚至被認為是可以比肩互聯(lián)網(wǎng)革命的整個信息產(chǎn)業(yè)的又一次發(fā)展高峰?,F(xiàn)在是大數(shù)據(jù)時代,因為數(shù)據(jù)量在爆炸式增長——近兩年所產(chǎn)生的數(shù)據(jù)量相當于2010年以前整個人類文明產(chǎn)生的數(shù)據(jù)量總和�����;而且數(shù)據(jù)來源極大豐富,語音�����、視頻�����、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大����。海量的數(shù)據(jù)與我們的生活息息相關(guān):互聯(lián)網(wǎng)行為記錄,地理位置記錄��,消費信息記錄等等�����,人們的行為細節(jié)和隱私無一遺漏��。同樣���,大數(shù)據(jù)對信息安全影響深刻�,各種網(wǎng)絡(luò)行為、日志都被記錄下來�,從而發(fā)現(xiàn)潛在的安全風險。
發(fā)覺潛在的威脅——大數(shù)據(jù)的這種能力對今天的信息安全防范意義重大���。我們知道,高級持續(xù)性威脅(Advanced Persistent Threat�,APT)是如今企業(yè)、政府機構(gòu)信息安全面臨的最大威脅��。在APT攻擊當中���,黑客以竊取核心資料為目的��,往往經(jīng)過長期的經(jīng)營與策劃�,網(wǎng)絡(luò)攻擊和入侵行為具有高度的隱蔽性�����。APT攻擊的關(guān)鍵在于黑客隱匿自己���,針對特定對象��,長期����、有計劃性和組織性地竊取數(shù)據(jù)。這樣的“網(wǎng)絡(luò)間諜”行為�,對網(wǎng)絡(luò)安全系統(tǒng)提出更高的要求,一般的防范手段難以發(fā)現(xiàn)��。
大數(shù)據(jù)分析有效防御APT攻擊
企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)產(chǎn)生大量日志數(shù)據(jù)�,包括上述核電站計算機系統(tǒng),只是與公網(wǎng)物理隔離���,內(nèi)部依然是一個龐大的網(wǎng)絡(luò)���。大數(shù)據(jù)可以針對所有的系統(tǒng)運行記錄進行分析,可以彌補時間點檢測技術(shù)的不足�����,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的蛛絲馬跡���。在這個基礎(chǔ)上����,結(jié)合傳統(tǒng)的檢測技術(shù),可以組成基于記憶的檢測系統(tǒng)��,這是由國內(nèi)安全廠商啟明星辰提出的思路��。
RSA曾提出過三種方法應(yīng)對APT攻擊:一是利用虛擬化帶來的預(yù)防機制����;二是一旦出現(xiàn)任何攻擊,可將對服務(wù)器進行重置��;三是使用虛擬監(jiān)控��,利用虛擬化平臺搜集數(shù)據(jù)����,并進行分析���。事實上�����,通過預(yù)防機制應(yīng)對APT����,只能對已知威脅有效;發(fā)現(xiàn)攻擊對服務(wù)器重置屬于補救措施���,亡羊補牢只是為了降低損失���;利用虛擬化平臺收集數(shù)據(jù)并分析,是基于大數(shù)據(jù)技術(shù)的方法��,也是應(yīng)對APT攻擊的關(guān)鍵����。
應(yīng)用大數(shù)據(jù)分析,需要強大的數(shù)據(jù)采集平臺���,以及強大的數(shù)據(jù)分析處理能力�。最理想的情況是建立全球化的數(shù)據(jù)分析引擎��,在全球范圍內(nèi)進行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析����。這樣就能克服信息分布孤島帶來的調(diào)查取證難的問題,更容易發(fā)現(xiàn)攻擊�����。針對具體的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的運行數(shù)據(jù)采集分析�,捕獲、挖掘�����、修復(fù)漏洞����;對全球已經(jīng)發(fā)生以及正在發(fā)生的網(wǎng)絡(luò)攻擊行為進行記錄,并將這些海量的數(shù)據(jù)經(jīng)過多維度的整合分析���,自動生成漏洞庫���、黑客們行為特征等數(shù)據(jù)庫�����。對于具體的網(wǎng)絡(luò)系統(tǒng)����,全球化的安全監(jiān)測,運用大數(shù)據(jù)技術(shù)�,可以提前發(fā)現(xiàn)攻擊����,提前阻止�����。
對于企業(yè)���、組織機構(gòu)來講�,首先要把信息收集起來進行識別���,包括日志全采集���,網(wǎng)絡(luò)監(jiān)控,然后把所有的信息放到統(tǒng)一的監(jiān)控平臺��,建立全自動化的響應(yīng)系統(tǒng)����。因為大數(shù)據(jù)需要一個中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來進行分析�����。
大數(shù)據(jù)分析是安全防御的制勝法寶,這是信息安全領(lǐng)域公認的事實�����,然而�����,大數(shù)據(jù)并不針對APT攻擊中的某個步驟����,而是通過全面收集重要終端和服務(wù)器上的日志信息以及采集網(wǎng)絡(luò)設(shè)備上的原始流量,進行集中分析和數(shù)據(jù)挖掘�����。發(fā)現(xiàn)APT攻擊的蛛絲馬跡后�����,通過全面分析海量數(shù)據(jù)�����,從而還原整個APT攻擊場景���。面向全局而非局部����,這是目前大多數(shù)廠商采用的思路�,也是相對正確的思路。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試��,點擊>>>
“CDA報名”
了解CDA考試詳情�;
? 想學習CDA考試教材,點擊>>> “CDA教材” 了解CDA考試詳情���;
? 想加入CDA考試題庫��,點擊>>> “CDA題庫” 了解CDA考試詳情��;
? 想了解CDA考試含金量�����,點擊>>> “CDA含金量” 了解CDA考試詳情�;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330