大數(shù)據(jù)將有效應(yīng)用于安全���、身份和欺詐管理
21世紀(jì)以來��,互聯(lián)網(wǎng)�����、移動互聯(lián)網(wǎng)����、云計(jì)算����、物聯(lián)網(wǎng)導(dǎo)致計(jì)算環(huán)境發(fā)生重大變化,企業(yè)和組織投入大量資源改善IT安全基礎(chǔ)設(shè)施�,安全邊界變得模糊和脆弱。但是各類安全事件層出不窮�����,國內(nèi)外多起嚴(yán)重?cái)?shù)據(jù)泄漏事件不斷挑戰(zhàn)安全意識底限?����!翱謶衷从跓o知”應(yīng)用在信息安全領(lǐng)域同樣適用�,當(dāng)各種復(fù)雜的防御機(jī)制也無法阻擋惡意入侵,當(dāng)著名安全組織不斷爆出安全漏洞�����,業(yè)內(nèi)人士也在思考問題的癥結(jié)?���,F(xiàn)有安全體系類似古代城堡,將重要資產(chǎn)(如企業(yè)內(nèi)網(wǎng)等)使用高高的城墻(如防火墻等)團(tuán)團(tuán)圍住���。實(shí)際上����,安全的邊界變得模糊和脆弱��,黑客攻擊也具有系統(tǒng)化��、長期化和經(jīng)濟(jì)利益驅(qū)動等特點(diǎn),甚至有國家背景支持��,城堡式安全體系已經(jīng)無法適應(yīng)新興攻擊技術(shù)的發(fā)展�����。國際安全會議RSA 2015年的主題“變化:挑戰(zhàn)當(dāng)前的安全理念”也正反應(yīng)出安全界轉(zhuǎn)換理念的共識����。
預(yù)測攻擊影響 提供主動防御
大數(shù)據(jù)的興起為新一代安全技術(shù)提供思路��,大數(shù)據(jù)開放組件為各類安全數(shù)據(jù)(如事件日志���、數(shù)據(jù)包等)提供海量存儲����、實(shí)時處理和數(shù)據(jù)挖掘等功能����,為安全廠商快速、有效建立數(shù)據(jù)分析平臺提供便利��。大數(shù)據(jù)技術(shù)在數(shù)據(jù)規(guī)模�����、數(shù)據(jù)易變性以及非結(jié)構(gòu)化處理具有明顯的優(yōu)勢,應(yīng)用于安全領(lǐng)域主要體現(xiàn)在安全管理����、身份管理和欺詐管理三大領(lǐng)域。
在安全管理方面�����,針對傳統(tǒng)的威脅����,防御和檢測技術(shù)通常以特征檢測為主,新型威脅更多利用0Day漏洞進(jìn)行攻擊����。由于無法提前明確特征信息,導(dǎo)致防御側(cè)已有SIEM系統(tǒng)及檢測技術(shù)失效��。企業(yè)和組織需要從被動防御轉(zhuǎn)換到主動防御����。根據(jù)多種渠道數(shù)據(jù)來源,威脅情報(bào)(Threat Intelligence)基于大數(shù)據(jù)處理和分析技術(shù)實(shí)現(xiàn)預(yù)測攻擊影響以及識別未知威脅���。通過威脅情況�,安全人員在第一時間了解IT資產(chǎn)面臨的新漏洞、新型攻擊方法和工具��,威脅環(huán)境變化等����,在威脅溢出之前阻斷攻擊者。2013年以來�����,威脅情報(bào)一直保持北美安全技術(shù)發(fā)展的熱點(diǎn)�。此外�����,安全企業(yè)和組織也積極共享威脅情報(bào)信息����,采用“群防群控”方式提升資源的利用率并將安全損失最小化����。威脅情報(bào)共享以來數(shù)據(jù)的標(biāo)準(zhǔn)化和規(guī)范化�����,美國相關(guān)工作主要由政府部門和安全企業(yè)共同推動�。2014年��,F(xiàn)ortinet��、Palo Alto等安全公司建立網(wǎng)絡(luò)威脅聯(lián)盟(Cyber Threat Alliance)����,共享威脅情報(bào),全面提升威脅態(tài)勢感知能力�。美國將網(wǎng)絡(luò)威脅情報(bào)信息共享視作提升其聯(lián)邦政府信息系統(tǒng)安全的必要手段之一,NIST發(fā)布NIST SP 800-150網(wǎng)絡(luò)威脅信息共享指南的草案���,將信息共享���、協(xié)調(diào)、協(xié)同擴(kuò)展至計(jì)算機(jī)安全事件響應(yīng)生命周期����。
顛覆傳統(tǒng)認(rèn)證方式 識別欺詐特征
身份認(rèn)證是信息系統(tǒng)中確認(rèn)操作者身份的過程,也是授權(quán)操作的基礎(chǔ)���。傳統(tǒng)的認(rèn)證方式通過用戶知道的秘密(口令等)���、用戶擁有的憑證(短信驗(yàn)證碼等)和用戶所屬的特性(指紋等)來鑒別用戶�。上述技術(shù)面臨以下問題:(1)數(shù)據(jù)泄漏嚴(yán)重����,密碼不可靠;攻擊者通過泄漏數(shù)據(jù)�、社工等方式很容易獲得賬號、密碼�����;(2)作為常用的二次認(rèn)證方式�,短信驗(yàn)證碼同樣面臨被截取的風(fēng)險;U盾具有安全性優(yōu)勢�,但使用不便���;(3)生物認(rèn)證的用戶體驗(yàn)好����,但適用范圍受到限制���,只能在支持生物特征識別的設(shè)備上運(yùn)行����。新型身份認(rèn)證技術(shù)需要安全性和易用性的平衡?���;诖髷?shù)據(jù)的身份認(rèn)證通過收集用戶、設(shè)備等行為數(shù)據(jù)��,分析獲得用戶和設(shè)備的行為特征�,并判斷當(dāng)前認(rèn)證是否滿足已有特征,如不滿足則疊加多種認(rèn)證方式�。因此也被稱為自適應(yīng)(Adaptive)或基于風(fēng)險(Risk-based)認(rèn)證。大數(shù)據(jù)身份管理的核心是風(fēng)險的判定��,依賴于用戶行為(例如時間�����、IP)和設(shè)備行為(例如設(shè)備號���、失敗次數(shù))��,通過安全策略控制認(rèn)證方式�����,黑客可能竊取賬號��、密碼之后也無法完成認(rèn)證�。同時,對于絕大多數(shù)正常用戶可以簡化認(rèn)證流程�����。
反欺詐是大數(shù)據(jù)安全應(yīng)用的另一類場景�����,例如Yahoo和Thinkmail利用大數(shù)據(jù)分析技術(shù)過濾垃圾郵件���,DataVisor提供惡意賬戶識別技術(shù)幫助Yelp減少虛假評論�。這類欺詐行為跟業(yè)務(wù)流程直接相關(guān)���,用戶的刷單�、刷獎類營銷欺詐����,盜卡類交易欺詐以及商戶和用戶串謀欺詐等場景識別不盡相同。通過收集設(shè)備數(shù)據(jù)���、用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)�����,結(jié)合機(jī)器學(xué)習(xí)技術(shù)����,欺詐管理可以識別欺詐特征���,提升欺詐成本�����。
當(dāng)然�,大數(shù)據(jù)作為新型安全技術(shù)也帶來多方面挑戰(zhàn)�。首先是數(shù)據(jù)的可信度,大數(shù)據(jù)安全的效果嚴(yán)重依賴數(shù)據(jù)質(zhì)量�����,低質(zhì)量的數(shù)據(jù)可能導(dǎo)致錯誤的結(jié)論。機(jī)器產(chǎn)生數(shù)據(jù)的可靠性具有保障�����,但也無法完全避免偽造或刻意制造的數(shù)據(jù)���。因此需要從數(shù)據(jù)來源的真實(shí)性���、數(shù)據(jù)傳播途徑和數(shù)據(jù)處理過程等多方面確保數(shù)據(jù)的可信。其次���,用戶隱私保護(hù)也成為各方關(guān)注焦點(diǎn)���,通過數(shù)據(jù)碎片還原出有價值的信息,可能屬于數(shù)據(jù)擁有者不愿意被披露的敏感數(shù)據(jù)����。大數(shù)據(jù)安全也需要從大數(shù)據(jù)存儲、搜索和計(jì)算等多方面全面考慮用戶的隱私保護(hù)問題����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情�����;
? 想學(xué)習(xí)CDA考試教材���,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情����;
? 想加入CDA考試題庫�����,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情�����;
? 想了解CDA考試含金量��,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330