大數(shù)據(jù)分析:安全防御的制勝法寶
隨著大數(shù)據(jù)價值的凸顯,大數(shù)據(jù)分析的運用也越來越廣泛�����,在信息安全領(lǐng)域��,大數(shù)據(jù)分析已經(jīng)成為公認的制勝法寶��,特別是針對高級持續(xù)性威脅(APT)�。大數(shù)據(jù)分析方法給安全分析、安全預警��、安全管理��、安全防護帶來了新思路���、新機遇���,它可能會改變未來信息安全的技術(shù)格局。
過去的一年��,整個IT領(lǐng)域都在談論大數(shù)據(jù)���,大數(shù)據(jù)甚至被認為是可以比肩互聯(lián)網(wǎng)革命的整個信息產(chǎn)業(yè)的又一次發(fā)展高峰?����,F(xiàn)在是大數(shù)據(jù)時代�,因為數(shù)據(jù)量在爆炸式增長——近兩年所產(chǎn)生的數(shù)據(jù)量相當于2010年以前整個人類文明產(chǎn)生的數(shù)據(jù)量總和;而且數(shù)據(jù)來源極大豐富�,語音、視頻��、圖像等非結(jié)構(gòu)化數(shù)據(jù)所占比例逐漸增大����。海量的數(shù)據(jù)與我們的生活息息相關(guān):互聯(lián)網(wǎng)行為記錄,地理位置記錄����,消費信息記錄等等,人們的行為細節(jié)和隱私無一遺漏�����。同樣�,大數(shù)據(jù)對信息安全影響深刻,各種網(wǎng)絡行為��、日志都被記錄下來��,從而發(fā)現(xiàn)潛在的安全風險��。
發(fā)覺潛在的威脅——大數(shù)據(jù)的這種能力對今天的信息安全防范意義重大。我們知道��,高級持續(xù)性威脅(Advanced Persistent Threat����,APT)是如今企業(yè)�����、政府機構(gòu)信息安全面臨的最大威脅�����。在APT攻擊當中��,黑客以竊取核心資料為目的�����,往往經(jīng)過長期的經(jīng)營與策劃�����,網(wǎng)絡攻擊和入侵行為具有高度的隱蔽性�。APT攻擊的關(guān)鍵在于黑客隱匿自己,針對特定對象,長期�����、有計劃性和組織性地竊取數(shù)據(jù)��。這樣的“網(wǎng)絡間諜”行為���,對網(wǎng)絡安全系統(tǒng)提出更高的要求��,一般的防范手段難以發(fā)現(xiàn)�。
大數(shù)據(jù)分析有效防御APT攻擊
企業(yè)的計算機網(wǎng)絡系統(tǒng)產(chǎn)生大量日志數(shù)據(jù)���,包括上述核電站計算機系統(tǒng)�����,只是與公網(wǎng)物理隔離���,內(nèi)部依然是一個龐大的網(wǎng)絡。大數(shù)據(jù)可以針對所有的系統(tǒng)運行記錄進行分析�����,可以彌補時間點檢測技術(shù)的不足,發(fā)現(xiàn)網(wǎng)絡攻擊的蛛絲馬跡����。在這個基礎(chǔ)上,結(jié)合傳統(tǒng)的檢測技術(shù)�����,可以組成基于記憶的檢測系統(tǒng)����,這是由國內(nèi)安全廠商啟明星辰提出的思路�����。
RSA曾提出過三種方法應對APT攻擊:一是利用虛擬化帶來的預防機制���;二是一旦出現(xiàn)任何攻擊���,可將對服務器進行重置;三是使用虛擬監(jiān)控��,利用虛擬化平臺搜集數(shù)據(jù)����,并進行分析�����。事實上�����,通過預防機制應對APT�����,只能對已知威脅有效�����;發(fā)現(xiàn)攻擊對服務器重置屬于補救措施���,亡羊補牢只是為了降低損失;利用虛擬化平臺收集數(shù)據(jù)并分析����,是基于大數(shù)據(jù)技術(shù)的方法,也是應對APT攻擊的關(guān)鍵�����。
應用大數(shù)據(jù)分析,需要強大的數(shù)據(jù)采集平臺�����,以及強大的數(shù)據(jù)分析處理能力���。最理想的情況是建立全球化的數(shù)據(jù)分析引擎�����,在全球范圍內(nèi)進行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析。這樣就能克服信息分布孤島帶來的調(diào)查取證難的問題����,更容易發(fā)現(xiàn)攻擊。針對具體的網(wǎng)絡�����、系統(tǒng)和應用的運行數(shù)據(jù)采集分析����,捕獲����、挖掘�����、修復漏洞�����;對全球已經(jīng)發(fā)生以及正在發(fā)生的網(wǎng)絡攻擊行為進行記錄��,并將這些海量的數(shù)據(jù)經(jīng)過多維度的整合分析�,自動生成漏洞庫、黑客們行為特征等數(shù)據(jù)庫����。對于具體的網(wǎng)絡系統(tǒng),全球化的安全監(jiān)測���,運用大數(shù)據(jù)技術(shù)��,可以提前發(fā)現(xiàn)攻擊����,提前阻止。
對于企業(yè)�����、組織機構(gòu)來講�,首先要把信息收集起來進行識別,包括日志全采集���,網(wǎng)絡監(jiān)控����,然后把所有的信息放到統(tǒng)一的監(jiān)控平臺���,建立全自動化的響應系統(tǒng)�����。因為大數(shù)據(jù)需要一個中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來進行分析���。
大數(shù)據(jù)分析是安全防御的制勝法寶���,這是信息安全領(lǐng)域公認的事實����,然而�����,大數(shù)據(jù)并不針對APT攻擊中的某個步驟����,而是通過全面收集重要終端和服務器上的日志信息以及采集網(wǎng)絡設備上的原始流量,進行集中分析和數(shù)據(jù)挖掘��。發(fā)現(xiàn)APT攻擊的蛛絲馬跡后����,通過全面分析海量數(shù)據(jù),從而還原整個APT攻擊場景��。面向全局而非局部��,這是目前大多數(shù)廠商采用的思路���,也是相對正確的思路�。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試,點擊>>>
“CDA報名”
了解CDA考試詳情��;
? 想學習CDA考試教材�,點擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫�,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量����,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330