大數(shù)據(jù)將有效應(yīng)用于安全���、身份和欺詐管理
21世紀(jì)以來���,互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)���、云計算�、物聯(lián)網(wǎng)導(dǎo)致計算環(huán)境發(fā)生重大變化�����,企業(yè)和組織投入大量資源改善IT安全基礎(chǔ)設(shè)施���,安全邊界變得模糊和脆弱����。但是各類安全事件層出不窮�����,國內(nèi)外多起嚴(yán)重數(shù)據(jù)泄漏事件不斷挑戰(zhàn)安全意識底限?�!翱謶衷从跓o知”應(yīng)用在信息安全領(lǐng)域同樣適用�����,當(dāng)各種復(fù)雜的防御機制也無法阻擋惡意入侵�����,當(dāng)著名安全組織不斷爆出安全漏洞�,業(yè)內(nèi)人士也在思考問題的癥結(jié)。現(xiàn)有安全體系類似古代城堡���,將重要資產(chǎn)(如企業(yè)內(nèi)網(wǎng)等)使用高高的城墻(如防火墻等)團團圍住���。實際上,安全的邊界變得模糊和脆弱��,黑客攻擊也具有系統(tǒng)化���、長期化和經(jīng)濟利益驅(qū)動等特點����,甚至有國家背景支持,城堡式安全體系已經(jīng)無法適應(yīng)新興攻擊技術(shù)的發(fā)展�。國際安全會議RSA 2015年的主題“變化:挑戰(zhàn)當(dāng)前的安全理念”也正反應(yīng)出安全界轉(zhuǎn)換理念的共識。
預(yù)測攻擊影響 提供主動防御
大數(shù)據(jù)的興起為新一代安全技術(shù)提供思路��,大數(shù)據(jù)開放組件為各類安全數(shù)據(jù)(如事件日志���、數(shù)據(jù)包等)提供海量存儲、實時處理和數(shù)據(jù)挖掘等功能��,為安全廠商快速���、有效建立數(shù)據(jù)分析平臺提供便利��。大數(shù)據(jù)技術(shù)在數(shù)據(jù)規(guī)模�����、數(shù)據(jù)易變性以及非結(jié)構(gòu)化處理具有明顯的優(yōu)勢�����,應(yīng)用于安全領(lǐng)域主要體現(xiàn)在安全管理���、身份管理和欺詐管理三大領(lǐng)域����。
在安全管理方面�,針對傳統(tǒng)的威脅,防御和檢測技術(shù)通常以特征檢測為主����,新型威脅更多利用0Day漏洞進(jìn)行攻擊。由于無法提前明確特征信息�,導(dǎo)致防御側(cè)已有SIEM系統(tǒng)及檢測技術(shù)失效。企業(yè)和組織需要從被動防御轉(zhuǎn)換到主動防御����。根據(jù)多種渠道數(shù)據(jù)來源,威脅情報(Threat Intelligence)基于大數(shù)據(jù)處理和分析技術(shù)實現(xiàn)預(yù)測攻擊影響以及識別未知威脅�。通過威脅情況,安全人員在第一時間了解IT資產(chǎn)面臨的新漏洞�����、新型攻擊方法和工具���,威脅環(huán)境變化等����,在威脅溢出之前阻斷攻擊者。2013年以來����,威脅情報一直保持北美安全技術(shù)發(fā)展的熱點。此外��,安全企業(yè)和組織也積極共享威脅情報信息�����,采用“群防群控”方式提升資源的利用率并將安全損失最小化��。威脅情報共享以來數(shù)據(jù)的標(biāo)準(zhǔn)化和規(guī)范化���,美國相關(guān)工作主要由政府部門和安全企業(yè)共同推動。2014年����,F(xiàn)ortinet、Palo Alto等安全公司建立網(wǎng)絡(luò)威脅聯(lián)盟(Cyber Threat Alliance)��,共享威脅情報,全面提升威脅態(tài)勢感知能力���。美國將網(wǎng)絡(luò)威脅情報信息共享視作提升其聯(lián)邦政府信息系統(tǒng)安全的必要手段之一�����,NIST發(fā)布NIST SP 800-150網(wǎng)絡(luò)威脅信息共享指南的草案����,將信息共享����、協(xié)調(diào)、協(xié)同擴展至計算機安全事件響應(yīng)生命周期����。
顛覆傳統(tǒng)認(rèn)證方式 識別欺詐特征
身份認(rèn)證是信息系統(tǒng)中確認(rèn)操作者身份的過程,也是授權(quán)操作的基礎(chǔ)���。傳統(tǒng)的認(rèn)證方式通過用戶知道的秘密(口令等)�����、用戶擁有的憑證(短信驗證碼等)和用戶所屬的特性(指紋等)來鑒別用戶����。上述技術(shù)面臨以下問題:(1)數(shù)據(jù)泄漏嚴(yán)重,密碼不可靠����;攻擊者通過泄漏數(shù)據(jù)、社工等方式很容易獲得賬號�、密碼;(2)作為常用的二次認(rèn)證方式�����,短信驗證碼同樣面臨被截取的風(fēng)險���;U盾具有安全性優(yōu)勢�����,但使用不便;(3)生物認(rèn)證的用戶體驗好�,但適用范圍受到限制,只能在支持生物特征識別的設(shè)備上運行�����。新型身份認(rèn)證技術(shù)需要安全性和易用性的平衡?����;诖髷?shù)據(jù)的身份認(rèn)證通過收集用戶����、設(shè)備等行為數(shù)據(jù),分析獲得用戶和設(shè)備的行為特征�����,并判斷當(dāng)前認(rèn)證是否滿足已有特征�,如不滿足則疊加多種認(rèn)證方式。因此也被稱為自適應(yīng)(Adaptive)或基于風(fēng)險(Risk-based)認(rèn)證��。大數(shù)據(jù)身份管理的核心是風(fēng)險的判定���,依賴于用戶行為(例如時間�����、IP)和設(shè)備行為(例如設(shè)備號�����、失敗次數(shù))��,通過安全策略控制認(rèn)證方式�����,黑客可能竊取賬號���、密碼之后也無法完成認(rèn)證�����。同時���,對于絕大多數(shù)正常用戶可以簡化認(rèn)證流程。
反欺詐是大數(shù)據(jù)安全應(yīng)用的另一類場景��,例如Yahoo和Thinkmail利用大數(shù)據(jù)分析技術(shù)過濾垃圾郵件���,DataVisor提供惡意賬戶識別技術(shù)幫助Yelp減少虛假評論。這類欺詐行為跟業(yè)務(wù)流程直接相關(guān)�����,用戶的刷單、刷獎類營銷欺詐����,盜卡類交易欺詐以及商戶和用戶串謀欺詐等場景識別不盡相同。通過收集設(shè)備數(shù)據(jù)��、用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)����,結(jié)合機器學(xué)習(xí)技術(shù),欺詐管理可以識別欺詐特征�,提升欺詐成本。
當(dāng)然�����,大數(shù)據(jù)作為新型安全技術(shù)也帶來多方面挑戰(zhàn)�����。首先是數(shù)據(jù)的可信度����,大數(shù)據(jù)安全的效果嚴(yán)重依賴數(shù)據(jù)質(zhì)量,低質(zhì)量的數(shù)據(jù)可能導(dǎo)致錯誤的結(jié)論。機器產(chǎn)生數(shù)據(jù)的可靠性具有保障����,但也無法完全避免偽造或刻意制造的數(shù)據(jù)。因此需要從數(shù)據(jù)來源的真實性���、數(shù)據(jù)傳播途徑和數(shù)據(jù)處理過程等多方面確保數(shù)據(jù)的可信����。其次����,用戶隱私保護也成為各方關(guān)注焦點,通過數(shù)據(jù)碎片還原出有價值的信息�,可能屬于數(shù)據(jù)擁有者不愿意被披露的敏感數(shù)據(jù)。大數(shù)據(jù)安全也需要從大數(shù)據(jù)存儲�����、搜索和計算等多方面全面考慮用戶的隱私保護問題���。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試�,點擊>>>
“CDA報名”
了解CDA考試詳情�����;
? 想學(xué)習(xí)CDA考試教材����,點擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫���,點擊>>> “CDA題庫” 了解CDA考試詳情�;
? 想了解CDA考試含金量�,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330