利用大數(shù)據(jù)捕捉網(wǎng)絡(luò)威脅
“數(shù)據(jù)已經(jīng)成為新時代的‘石油’資源?��!?/span>
最近幾個月大數(shù)據(jù)的激增人氣再次顯露出來����。對于我們這幫搞技術(shù)的人士而言,數(shù)據(jù)始終是貫穿生活始終的核心價值所在����。但在過去數(shù)年中,它的價值則變得更加透明���。無論是智能手機(jī)���、基礎(chǔ)設(shè)施所在地的電網(wǎng)體系還是硅谷新興企業(yè)的運作模式�����,都開始圍繞“數(shù)據(jù)”這一概念大做文章����。人們?nèi)罕娂娂姳硎?��,?shù)據(jù)代表著新一輪潛在的企業(yè)盈利能力����。
(當(dāng)然���,電力仍然是一切的保障�。試想我們坐在沒電的辦公室里����,盯著手機(jī)上即將歸零的電池剩余,數(shù)據(jù)什么的自然只能是浮云��。但這好像跟今天的話題沒啥關(guān)系。)
幾十年來����,數(shù)據(jù)已經(jīng)成為企業(yè)運營的潤滑劑與推動力。如今�����,“大數(shù)據(jù)”這一涉及龐大復(fù)雜數(shù)據(jù)合集計算���、整理與分析的模糊概念則帶來新的價值增長點����,并承諾為企業(yè)加速信息向財富的轉(zhuǎn)化過程���。
原因在于:隨著數(shù)據(jù)量的爆炸式增長��,對其加以利用的可能性也將相應(yīng)提高。數(shù)據(jù)自身與生俱來的關(guān)聯(lián)特性既成為前所未有的發(fā)展機(jī)遇����,也帶來了諸多極為罕見的技術(shù)阻礙。
只要略加分析大家就會發(fā)現(xiàn)���,發(fā)掘數(shù)據(jù)潛能的最大挑戰(zhàn)在于選擇理想的大數(shù)據(jù)解決方案����。換言之,我們需要利用大數(shù)據(jù)來實現(xiàn)大數(shù)據(jù)保護(hù)工作�。這跟電影《盜夢空間》的劇情設(shè)定如出一轍——利用夢境來改變夢境。
Seculert公司是一家以色列新興安全企業(yè)����,其主要發(fā)展方向是利用大數(shù)據(jù)分析技術(shù)捕捉企業(yè)中的網(wǎng)絡(luò)威脅。今年十月下旬��,他們推出了一款名為“Seculert Sense”的專有引擎���,嘗試?yán)肁mazon Elastic MapReduce從活動僵尸網(wǎng)絡(luò)�����、惡意軟件及日志文件等由客戶上傳到云端的信息中收集數(shù)以TB的數(shù)據(jù)并加以分析���。而分析結(jié)果將被傳輸?shù)揭豢罨赪eb的安全專用控制面板當(dāng)中。
研發(fā)初衷:加快威脅檢測速度���、提高防御體系靈活性����,使現(xiàn)有安全措施更好地適應(yīng)不斷變化的網(wǎng)絡(luò)威脅并解決日益壯大的外部網(wǎng)絡(luò)企業(yè)活動所帶來的安全難題。
為了了解更多信息�,我對該公司創(chuàng)始人Aviv Raff(簡稱AR)與Dudi Matot(簡稱DM)進(jìn)行了一次專訪。
我: Seculert公司是如何建立起來的?
DM: 這家公司于2010年誕生���,但我們在那之前就已經(jīng)開始關(guān)注這塊市場了����。
如果把目光投向2000年之初����,也就是03到04年之間,那時候惡意軟件所針對的還主要是金融類消費者��。而2006年左右依托僵尸網(wǎng)絡(luò)實現(xiàn)的信息掃描與拒絕服務(wù)活動則成為主流�。到了09、10年��,攻擊者的目標(biāo)又開始針對企業(yè)環(huán)境���。當(dāng)時谷歌公司是第一家明確表示自己受到攻擊的企業(yè),據(jù)說當(dāng)時的攻擊活動來自中國。其后反應(yīng)遭遇侵襲的公司逐漸增加��,最終達(dá)到70多家�����,大部分安全服務(wù)供應(yīng)商都被牽涉其中�。
多數(shù)傳統(tǒng)安全供應(yīng)商只向客戶提供管理政策或者基于簽名的解決方案。他們研發(fā)相關(guān)工具��,而客戶則負(fù)責(zé)配置工作�。其它的就不用指望了���,方案已經(jīng)成形���,大家只能祈禱這些產(chǎn)品真有拒敵于千里之外的本事。
現(xiàn)在黑客們在入侵企業(yè)并獲取專有信息方面的技術(shù)水平已經(jīng)越來越高��,因此我們一直在努力收集資料�����,以揪出那些無法被現(xiàn)有系統(tǒng)所發(fā)現(xiàn)的惡意活動�����。
目前大多數(shù)遭遇侵襲的企業(yè)尚處于懵懂之中,他們沒有意識到自己的安全體系已經(jīng)被攻破���。就像一群目光短淺的小羊羔��,他們躺在舊技術(shù)與舊概念打造的殘舍破窯中��,還以為自己非常安全�。
說到這里����,我要感謝以大數(shù)據(jù)為代表的云計算及其它現(xiàn)代技術(shù)。在它們的幫助下�,我們才有能力獲取以TB計算的海量數(shù)據(jù)、以分布式方式通過精心開發(fā)的代碼對其進(jìn)行處理與關(guān)聯(lián)�,并最終拿出復(fù)雜而準(zhǔn)確的分析結(jié)論。
我:您的公司非常重視企業(yè)網(wǎng)絡(luò)之外的安全保護(hù)工作�����。我想自帶設(shè)備趨勢正是成就這一設(shè)想的重要因素�����。
AR: 現(xiàn)在企業(yè)員工會以遠(yuǎn)程方式接入內(nèi)部網(wǎng)絡(luò)——從家中、在旅途上�、使用自行購買的移動設(shè)備等等���。這種狀況對傳統(tǒng)管理方案提出了嚴(yán)峻挑戰(zhàn)——過去的工具只允許企業(yè)管理屬于自己的系統(tǒng)和設(shè)備�。我們的產(chǎn)品則能夠檢測到來自外部的���、存在安全問題的接入設(shè)備�。
這套產(chǎn)品不會給企業(yè)管理者帶來硬件或存儲等方面的壓力���。對管理范圍進(jìn)行擴(kuò)展其實非常簡單——大家可以通過配置直接將日志記錄范圍從一個月提高到一年�,整個調(diào)整過程一小時內(nèi)就能完成����。
DM: 許多應(yīng)用程序及其它技術(shù)資產(chǎn)正向云環(huán)境轉(zhuǎn)移。越來越多的員工開始以遠(yuǎn)程及外部方式處理內(nèi)部事務(wù)��。事實上繼續(xù)在網(wǎng)絡(luò)安全工作中苦苦掙扎已經(jīng)沒有任何好處——針對有限的幾種設(shè)備進(jìn)行復(fù)雜精密的檢測����,這實在有點吃力不討好。相比之下���,云環(huán)境就要友善得多�����。由于設(shè)備都在服務(wù)供應(yīng)商那邊����,大家完全不必費心進(jìn)行管理及維護(hù)。
大多數(shù)供應(yīng)商所提供的設(shè)備都能帶來良好的企業(yè)網(wǎng)絡(luò)覆蓋效果——通過網(wǎng)關(guān)或者其它機(jī)制�。Check Point、Palo Alto網(wǎng)絡(luò)公司等都是不錯的選擇��。但還沒有哪家供應(yīng)商能切實保護(hù)遠(yuǎn)程員工����,目前大家只能指望這些員工自發(fā)安裝殺毒軟件并嚴(yán)格遵守安全政策。IT部門正在行動��,但他們在安全性方面還沒什么實質(zhì)性進(jìn)展���。目前流行的管理體系相對過去而言實在太過松散����。
AR:企業(yè)管理者當(dāng)然明白自己在發(fā)展趨勢方面的局限性���。我們正努力幫助他們勘破這個復(fù)雜多變的時代���、了解組織之外的真實世界��,并把握新型惡意軟件對現(xiàn)有安全機(jī)制的影響��。大家可能已經(jīng)在保護(hù)方案上花掉了數(shù)百萬美元,但Seculert作為補充性服務(wù)絕對物有所值�����,它能有效彌補現(xiàn)有體系的不足之處��。
我:那么Seculert要如何證明自身價值����、拓展市場份額?通過宣揚對未知領(lǐng)域的恐懼感嗎?新興企業(yè)的立足根本在于處理尚未解決的問題,但如果企業(yè)自己根本沒意識到問題的存在�����,又該如何是好?
AR: 企業(yè)會定期進(jìn)行運營狀況統(tǒng)計����,因此我們相信管理者很清楚自己已經(jīng)遭受的侵襲����,卻不了解侵襲的具體情況����。他們大多表示“根據(jù)分析,企業(yè)已經(jīng)遭遇了安全問題���,但我們還不清楚攻擊來自哪里����、造成何種影響���?���!?/span>
DM: 我們提供免費試用產(chǎn)品���。企業(yè)可以根據(jù)自身情況設(shè)定關(guān)鍵詞���,而我們則將這些關(guān)鍵詞與自己的數(shù)據(jù)庫及收集到信息相關(guān)聯(lián)。如果發(fā)現(xiàn)了與關(guān)鍵詞相匹配的內(nèi)容,就意味著我們能夠成功找到企業(yè)現(xiàn)有技術(shù)資產(chǎn)中已經(jīng)發(fā)生問題�、甚至成為僵尸網(wǎng)絡(luò)組成部分的對象。這也正是Seculert Echo產(chǎn)品的運作機(jī)制�����。
我們還允許企業(yè)客戶分析我們的內(nèi)部管理日志��,這樣就能檢測出針對他們所開展的攻擊活動�����。一旦某種安全漏洞被A所利用����,相信很快也會被B����、C等更多攻擊者所掌握。這就是Seculert Sense產(chǎn)品的意義所在����。
我:也就是說隨著客戶群體不斷擴(kuò)大,Seculert產(chǎn)品的實際表現(xiàn)也會越來越好�。
DM: 沒錯��,當(dāng)然。
我:為什么要以獨立的形式推出服務(wù)產(chǎn)品���,而不是將其整合到現(xiàn)有網(wǎng)絡(luò)安全公司的主流項目當(dāng)中呢?我的意思是說�����,既然二者之間是互補關(guān)系��,那么合而為一不是更符合邏輯嗎?
DM:我們的產(chǎn)品確實是以供應(yīng)商為中心����,而不僅僅針對單一的企業(yè)客戶���。
我:您的意思是����,把產(chǎn)品提供給多家安全服務(wù)供應(yīng)商���,比把自己捆綁在一家特定供應(yīng)商要更科學(xué)��、經(jīng)濟(jì)利益也更理想啰?
DM: 正是如此���。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試����,點擊>>>
“CDA報名”
了解CDA考試詳情����;
? 想學(xué)習(xí)CDA考試教材����,點擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫�,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量��,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330