利用大數(shù)據(jù)分析挖掘出的五大安全線索
越來(lái)越多的CSO們開(kāi)始依靠數(shù)據(jù)分析來(lái)從海量數(shù)據(jù)中發(fā)現(xiàn)新的安全威脅,并且越來(lái)越多的企業(yè)IT部門開(kāi)始利用安全分析技術(shù)���,信息安全專業(yè)人員已經(jīng)開(kāi)始從安全分析有所收獲���。其中最明顯的是對(duì)IT安全數(shù)據(jù)來(lái)源更廣泛和更深入的可視性,這能夠通過(guò)數(shù)據(jù)分析來(lái)更好地了解安全風(fēng)險(xiǎn)以及實(shí)現(xiàn)更快的響應(yīng)時(shí)間�����。
隨著安全分析技術(shù)不斷成熟��,企業(yè)會(huì)驚喜地發(fā)現(xiàn)對(duì)安全相關(guān)數(shù)據(jù)的系統(tǒng)分析能夠?yàn)樗麄兺诰虺龊芏嘤袃r(jià)值的信息�����,下面是5個(gè)從安全分析中挖掘出的信息:
1.發(fā)現(xiàn)你永遠(yuǎn)想象不到的數(shù)據(jù)泄漏
安全分析技術(shù)給你帶來(lái)的第一個(gè)驚喜是讓你發(fā)現(xiàn)想象不到的數(shù)據(jù)泄漏的具體證據(jù)����。
RSA公司高級(jí)產(chǎn)品營(yíng)銷經(jīng)理Matthew Gardiner表示:“經(jīng)常會(huì)挖掘出的信息是��,他們會(huì)發(fā)現(xiàn)已經(jīng)持續(xù)了一段時(shí)間的數(shù)據(jù)泄漏��?�!彼忉屨f(shuō)�����,這可能不是某種復(fù)雜的民族國(guó)家間諜活動(dòng)導(dǎo)致的泄漏���,或者黑社會(huì)性質(zhì)犯罪阻止竊取的數(shù)據(jù)。
他說(shuō)道���,“只是數(shù)據(jù)轉(zhuǎn)移到企業(yè)外部不知明的地方造成的泄漏�,接下來(lái)的問(wèn)題是�,搞清楚如何控制數(shù)據(jù)流向?��!?/span>
2. 挖掘出你不知道需要提出的問(wèn)題
IT基礎(chǔ)設(shè)施和安全工具產(chǎn)生的巨量非結(jié)構(gòu)化數(shù)據(jù)讓安全分析師甚至很難開(kāi)始查詢數(shù)據(jù)���,以回答有關(guān)企業(yè)風(fēng)險(xiǎn)狀態(tài)的常見(jiàn)問(wèn)題。讓分析程序回答這些顯而易見(jiàn)的問(wèn)題有時(shí)候會(huì)出現(xiàn)意想不到的回報(bào)����,因?yàn)闀?huì)出現(xiàn)其他模式來(lái)回答安全團(tuán)隊(duì)可能沒(méi)想過(guò)要提出的問(wèn)題�。
“通常情況下�,在數(shù)據(jù)被存儲(chǔ)和訪問(wèn)之前,企業(yè)可能不知道他們需要什么或者他們想要解決什么問(wèn)題����,”O(jiān)penDNS公司首席技術(shù)官Dan Hubbard表示���,“分析技術(shù)可以發(fā)現(xiàn)安全情報(bào)��,并挖掘出我們不知道的問(wèn)題�?!?/span>
更重要的是,這些趨勢(shì)的可視化還可以幫助更好地與業(yè)務(wù)部門溝通風(fēng)險(xiǎn)���,并解決業(yè)務(wù)領(lǐng)導(dǎo)可能提出的重要問(wèn)題��。
安全服務(wù)供應(yīng)商BTB Security公司管理合伙人Ron Schlecht表示���,“他們會(huì)開(kāi)始提出很好的問(wèn)題,所以你應(yīng)該尋找一個(gè)不同的視角��,對(duì)于你應(yīng)該尋找的東西,以及你應(yīng)該如何看待這些問(wèn)題���,最好與不同的業(yè)務(wù)領(lǐng)導(dǎo)進(jìn)行合作����,這會(huì)讓大家明白安全對(duì)整個(gè)企業(yè)的重要性�����?��!?/span>
3.找出不同數(shù)據(jù)來(lái)源之間的關(guān)聯(lián)
通常情況下���,安全分析程序會(huì)在數(shù)據(jù)來(lái)源之間進(jìn)行關(guān)聯(lián),而安全團(tuán)隊(duì)可能從來(lái)沒(méi)有發(fā)現(xiàn)過(guò)這種關(guān)聯(lián)����。
“大多數(shù)安全分析程序需要將來(lái)自不同來(lái)源的數(shù)據(jù)整合到單個(gè)引擎,來(lái)進(jìn)行分析����,查找模式和異常情況,”Cambridge Intelligence公司北美地區(qū)總經(jīng)理Corey Lanum表示���,“當(dāng)我的客戶從不同數(shù)據(jù)來(lái)源加載數(shù)據(jù)時(shí)�,他們通常立即會(huì)看到原本存儲(chǔ)在不同數(shù)據(jù)庫(kù)沒(méi)有關(guān)聯(lián)的數(shù)據(jù)元素之間存在的關(guān)聯(lián)?!?/span>
這種類型的建模可以用于發(fā)現(xiàn)網(wǎng)絡(luò)不同部分�、不同部門信息之間的關(guān)聯(lián)。
4. 發(fā)現(xiàn)你從來(lái)不知道的IT操作問(wèn)題
安全分析技術(shù)的優(yōu)勢(shì)可能會(huì)超出IT安全的范疇�����,轉(zhuǎn)而深入IT操作�。在很多情況下���,對(duì)安全數(shù)據(jù)進(jìn)行建模和點(diǎn)連接還可以發(fā)現(xiàn)IT操作問(wèn)題��,這些問(wèn)題可能會(huì)影響可操作性�����、工作流和效率��。
Schlecht表示:“讓很多企業(yè)驚訝的一個(gè)好處是,安全分析還能夠幫助找出IT操作問(wèn)題����,這是因?yàn)榉治龀绦蚰軌颢@得一定的可視性����?�!?/span>
例如�,多年前,Schlecht曾在企業(yè)內(nèi)部工作��,他發(fā)現(xiàn)一個(gè)新的分析程序不僅能幫助發(fā)現(xiàn)安全問(wèn)題���,還能夠發(fā)現(xiàn)企業(yè)應(yīng)用程序的開(kāi)發(fā)問(wèn)題��,而這個(gè)問(wèn)題讓其開(kāi)發(fā)團(tuán)隊(duì)困擾了數(shù)小時(shí)�。在檢查應(yīng)用程序和安全事件日志后���,一些完全無(wú)關(guān)的東西幫助找出了問(wèn)題的根源�。
5.找出你不知道的策略違規(guī)行為
分析技術(shù)還提供了另一個(gè)驚喜:發(fā)現(xiàn)企業(yè)中的策略違規(guī)行為����,這通常是一把雙刃劍。這些不一定是惡意行為,但是確實(shí)違反了策略���,麻煩的是�����,一旦安全團(tuán)隊(duì)看到這些違規(guī)行為����,他們就會(huì)采取行動(dòng)��,而不管多么麻煩�����。
“你聽(tīng)說(shuō)過(guò)流氓云服務(wù)����,通過(guò)分析����,你會(huì)看到真正的流氓云服務(wù),”Gardiner表示����,“這對(duì)企業(yè)是好事���,因?yàn)槟愕玫搅烁玫目梢曅裕悄悴粫?huì)置之不理����。你必須采取一些措施,并確定它的重要性�����,以及是否需要進(jìn)行調(diào)查�����?����!?/span>
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試��,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情�;
? 想學(xué)習(xí)CDA考試教材,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�;
? 想加入CDA考試題庫(kù),點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情;
? 想了解CDA考試含金量����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330