大數(shù)據(jù)安全分析常見問題匯總
大數(shù)據(jù)是時(shí)下最火熱的IT行業(yè)的詞匯�,隨之數(shù)據(jù)倉庫、數(shù)據(jù)安全��、數(shù)據(jù)分析、數(shù)據(jù)挖掘等等圍繞大數(shù)量的商業(yè)價(jià)值的利用逐漸成為行業(yè)人士爭(zhēng)相追捧的利潤(rùn)焦點(diǎn)���。
本人在與用戶溝通大數(shù)據(jù)問題時(shí)經(jīng)常會(huì)遇到一些問題�,現(xiàn)將這些常見問題匯總��,拋磚引玉�,希望可以幫助到大家。
1. 大數(shù)據(jù)安全分析的核心目標(biāo)是什么?
應(yīng)答:為了能夠找到隱藏在數(shù)據(jù)背后的安全真相�。數(shù)據(jù)之間存在著關(guān)聯(lián)���,傳統(tǒng)分析無法將海量數(shù)據(jù)匯總���,但是大數(shù)據(jù)技術(shù)能夠應(yīng)對(duì)海量數(shù)據(jù)的分析需求。通過大數(shù)據(jù)基礎(chǔ)能夠挖掘出APT攻擊�����、內(nèi)網(wǎng)隱秘通道���、異常用戶行為等安全事件����。在此基礎(chǔ)上可建設(shè)為安全決策支持系統(tǒng),為安全決策提供數(shù)據(jù)支撐���。
2. 大數(shù)據(jù)安全分析企業(yè)級(jí)部署方案與成功案例介紹���。
應(yīng)答:在國(guó)家電網(wǎng)、運(yùn)營(yíng)商中已經(jīng)有成功的案例��。通過該分析平臺(tái)能夠進(jìn)行整體的安全態(tài)勢(shì)感知���,以全局的角度對(duì)整體安全情況進(jìn)行宏觀掌控�����。 以運(yùn)營(yíng)商為例���,將全網(wǎng)的數(shù)據(jù)匯總并進(jìn)行數(shù)據(jù)挖掘工作,可視化的將結(jié)果進(jìn)行呈現(xiàn)��。
3. 國(guó)內(nèi)外大數(shù)據(jù)安全分析的發(fā)展現(xiàn)狀介紹����。
應(yīng)答:目前國(guó)外比較成熟的大數(shù)據(jù)安全分析主要以Cisco的Open SOC為代表。其通過采用大數(shù)據(jù)技術(shù)采集網(wǎng)絡(luò)流量�����、安全設(shè)備日志、業(yè)務(wù)系統(tǒng)日志����、網(wǎng)絡(luò)設(shè)備日志,并對(duì)這些數(shù)據(jù)進(jìn)行挖掘��、關(guān)聯(lián)等運(yùn)算�����,最后找出安全事件����。
4. 是否有成熟的大數(shù)據(jù)安全分析的方法論?
應(yīng)答:我們要從兩個(gè)角度來看這個(gè)問題����。
首先,大數(shù)據(jù)是一個(gè)具體的技術(shù)實(shí)現(xiàn)����。這個(gè)技術(shù)在其適用的場(chǎng)景下能夠解決傳統(tǒng)數(shù)據(jù)挖掘難以滿足的需求。
而安全分析方法論是一直在不斷革新的�����。安全分析方法論中仍然有一些理念是無法落地的,無法落地的核心問題是缺少技術(shù)支撐�����。
當(dāng)前我們采用大數(shù)據(jù)技術(shù)不是對(duì)安全分析進(jìn)行革新���,而是將安全分析曾經(jīng)無法實(shí)現(xiàn)的目標(biāo)加以落地�����。就如同關(guān)系型數(shù)據(jù)的理念���,其最早在1970年提出,而落地產(chǎn)品在1976年才有相應(yīng)的雛形���。大數(shù)據(jù)技術(shù)其實(shí)是安全分析方法論的落地實(shí)現(xiàn)��。
5. 大數(shù)據(jù)安全分析支撐平臺(tái)是否存在技術(shù)標(biāo)準(zhǔn)或規(guī)范?
應(yīng)答:目前沒有技術(shù)標(biāo)準(zhǔn)或規(guī)范�,但是國(guó)家正在制定相應(yīng)的標(biāo)準(zhǔn)�����。綠盟科技2016年會(huì)參與標(biāo)準(zhǔn)的制定工作。
6. 大數(shù)據(jù)安全分析類項(xiàng)目過程中容易遇到的技術(shù)難點(diǎn)或需要大量投入的環(huán)節(jié)?
應(yīng)答:分析平臺(tái)目前基本是成熟的技術(shù)�,難點(diǎn)主要在與前期規(guī)劃與安全分析兩個(gè)環(huán)節(jié)。前期規(guī)劃要能夠準(zhǔn)確的估算出硬件配置��、存儲(chǔ)容量等基礎(chǔ)信息���,后期的安全分析需要專業(yè)人員對(duì)數(shù)據(jù)進(jìn)行深入挖掘����。
7. 從大數(shù)據(jù)安全分析的角度如何實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)安全?
應(yīng)答:通過大數(shù)據(jù)分析能夠量化的明確當(dāng)前企業(yè)中存在的安全事件���,通過安全事件驅(qū)動(dòng)業(yè)務(wù)發(fā)展���,從而實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)安全的目標(biāo)。
8. 作為非IT類型企業(yè)���,要實(shí)現(xiàn)大數(shù)據(jù)安全分析所需的必要條件是什么?
應(yīng)答:有專職的IT團(tuán)隊(duì),有專職的安全團(tuán)隊(duì)���,有必要的資源投入�����,有必要的流程支持���。
9. 大數(shù)據(jù)安全分析可視化的技術(shù)現(xiàn)狀如何?展示的內(nèi)容��、方法���、形式有哪些?
應(yīng)答:可視化技術(shù)一直都在不斷發(fā)展中,在沒有大數(shù)據(jù)之前可視化技術(shù)廣泛被使用在BI系統(tǒng)中����。隨著大數(shù)據(jù)技術(shù)的成熟,可視化技術(shù)不僅能實(shí)現(xiàn)傳統(tǒng)的餅圖���、折線圖��、散點(diǎn)圖����、柱狀圖��、條形圖之外��,還能夠以地圖����、熱力圖��、氣泡圖��、力圖����、平行坐標(biāo)圖等多維展示�����。
10. 如何從展現(xiàn)層面體現(xiàn)大數(shù)據(jù)安全分析的優(yōu)勢(shì)?
應(yīng)答:展現(xiàn)只是安全分析的最后結(jié)果呈現(xiàn)����。大數(shù)據(jù)的安全分析的優(yōu)勢(shì)的核心是在于安全分析模型。在展示層面的優(yōu)勢(shì)完全來自于安全模型的定義���,僅從展示層面不好說明其優(yōu)勢(shì)�����。這主要是因?yàn)椋跊]有大數(shù)據(jù)技術(shù)之前可視化展示技術(shù)也在快速發(fā)展�����。
11. 當(dāng)前作為大數(shù)據(jù)安全分析最常用的數(shù)據(jù)類型有哪些?
應(yīng)答:DDoS態(tài)勢(shì)感知、溯源模型�����,APT攻擊模型�,資產(chǎn)脆弱性態(tài)勢(shì)感知,網(wǎng)站脆弱性態(tài)勢(shì)感知等等�。
12. 如果從專家系統(tǒng)、統(tǒng)計(jì)分析��、機(jī)器學(xué)習(xí)三個(gè)維度實(shí)現(xiàn)大數(shù)據(jù)安全分析�,是否已有相應(yīng)的算法或數(shù)據(jù)模型?
應(yīng)答:這三個(gè)是不同的層面。
專家系統(tǒng)通常是由在線與離線兩個(gè)組成部分�。離線部分為客戶本地的知識(shí)庫,里面記錄大量經(jīng)驗(yàn)��,通過歷史經(jīng)驗(yàn)對(duì)問題進(jìn)行處理��。在線部分為云端知識(shí)庫系統(tǒng)����,客戶通過云端系統(tǒng)提出問題,解決問題,并且在線系統(tǒng)通常為7*24小時(shí)��,由全球?qū)<医恿μ幚韱栴}����。
統(tǒng)計(jì)分析,通過簡(jiǎn)單的統(tǒng)計(jì)進(jìn)行數(shù)據(jù)的過濾與結(jié)果呈現(xiàn)��。通常由非專業(yè)人員進(jìn)行簡(jiǎn)單的數(shù)據(jù)統(tǒng)計(jì)工作�。能夠從宏觀的角度發(fā)現(xiàn)一些問題,但是無法實(shí)現(xiàn)深入的數(shù)據(jù)挖掘工作�。為了應(yīng)對(duì)這樣的實(shí)際情況,在業(yè)務(wù)系統(tǒng)中會(huì)建設(shè)數(shù)據(jù)倉庫���,通過數(shù)據(jù)倉庫來實(shí)現(xiàn)數(shù)據(jù)挖掘工作�����。但是由于建立數(shù)據(jù)倉庫費(fèi)時(shí)費(fèi)力�,只有在大型集團(tuán)企業(yè)中才會(huì)將其使用在安全領(lǐng)域���。
機(jī)器學(xué)習(xí)��,實(shí)際上是程序自我矯正����,實(shí)現(xiàn)結(jié)果的準(zhǔn)確性�。這是一個(gè)較為成熟的技術(shù),在金融領(lǐng)域有很多成熟的案例�����。機(jī)器學(xué)習(xí)主要應(yīng)用在難以人為劃定規(guī)則的領(lǐng)域��,如異常流量監(jiān)測(cè)��,異常行為檢測(cè)等���。通常使用在難以通過規(guī)則進(jìn)行判斷的業(yè)務(wù)場(chǎng)景中���。
在這三個(gè)層面都有成熟的算法以及應(yīng)用,并且都通過的實(shí)際場(chǎng)景的檢驗(yàn)�。
13. 關(guān)于APT攻擊、0day攻擊是否具備成熟的基于大數(shù)據(jù)的解決方案?
應(yīng)答:APT攻擊一般按照攻擊鏈的方式進(jìn)行攻擊��。
攻擊鏈條分為三個(gè)階段:
1.威脅進(jìn)入階段
2.威脅擴(kuò)散階段
3.數(shù)據(jù)竊取階段����。
APT攻擊檢測(cè)和防御,重點(diǎn)在于前兩個(gè)階段,威脅嘗試進(jìn)入和擴(kuò)散�����,大數(shù)據(jù)分析利用威脅情報(bào)系統(tǒng)��,對(duì)網(wǎng)絡(luò)�����,郵件��,安全�,操作系統(tǒng)等層面的數(shù)據(jù)進(jìn)行索引匯總,統(tǒng)計(jì)���,關(guān)聯(lián)分析�����,來檢測(cè)進(jìn)入企業(yè)的威脅���。這是大數(shù)據(jù)分析在APT威脅檢測(cè)領(lǐng)域的應(yīng)用。
對(duì)于0Day漏洞��,綠盟更多的利用部署在網(wǎng)絡(luò)邊界的威脅分析系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控,通過對(duì)樣本的靜態(tài)分析和動(dòng)態(tài)分析���,判斷是否存在威脅�����。經(jīng)過樣本分析引擎進(jìn)行分析后,可以獲得樣本是否利用了0Day漏洞��,根據(jù)樣本自身的信譽(yù)信息���,比如文件簽名���,樣本用到的回連CnC地址,可以借助大數(shù)據(jù)引擎��,對(duì)當(dāng)前的數(shù)據(jù)以及歸檔的歷史數(shù)據(jù)進(jìn)行分析��,定位和回溯受到影響的主機(jī)�����、用戶等信息��。
14. 對(duì)于已知的威脅模式,已實(shí)現(xiàn)的基于大數(shù)據(jù)的安全分析算法或模型有哪些?(列舉UseCasae)
應(yīng)答:
1)攻擊鏈關(guān)聯(lián)分析
同一資產(chǎn)����,按照威脅檢測(cè)的時(shí)間進(jìn)行分析,描述攻擊鏈條
2)歸并統(tǒng)計(jì)相同類型的攻擊事件進(jìn)行合并��,多對(duì)一統(tǒng)計(jì)���,一對(duì)多統(tǒng)計(jì)
3)威脅情報(bào)關(guān)聯(lián)分析根據(jù)威脅情報(bào)���,對(duì)當(dāng)前的數(shù)據(jù)和歷史數(shù)據(jù)進(jìn)行遞歸查詢,生成告警事件
4)異常流量學(xué)習(xí)正常訪問流量�����,當(dāng)流量異常時(shí)進(jìn)行告警
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試���,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情��;
? 想學(xué)習(xí)CDA考試教材��,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�;
? 想加入CDA考試題庫����,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情���;
? 想了解CDA考試含金量,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330