科技是把雙刃劍,當工業(yè)4.0時代來臨,我們的生活行為普遍聯(lián)網(wǎng),智能化的機器生產(chǎn)和服務會讓我們尊享“主人”般的操控方式,但同時,我們的行為也在網(wǎng)絡上留有了數(shù)據(jù)痕跡,每一個動態(tài)皆是可追溯的,對于我們的隱私而言這又意味著什么呢?
好萊塢明星艷照門知道吧?最近發(fā)生的索尼公司被黑事件知道吧?棱鏡門事件聽說過吧?還有更多事兒,小編就不一一列舉了,咱們在看個熱鬧的同時,有沒有意識到自身的隱私數(shù)據(jù)也會暴露在網(wǎng)絡之上呢?大數(shù)據(jù)時代的信息安全是在互聯(lián)網(wǎng)進化過程中怎么也繞不過的問題。
當大數(shù)據(jù)引擎成為企業(yè)服務創(chuàng)新發(fā)展的核心驅(qū)動力,正在影響企業(yè)安全市場的格局生變。由于利用系統(tǒng)漏洞的網(wǎng)絡攻擊范圍更廣、危害更大,企業(yè)安全攻防強度和防御難度全面升級。對于企業(yè)來說,大數(shù)據(jù)變成了重要的生產(chǎn)力因素,在散發(fā)出不可估量的商業(yè)價值的同時也存在巨大安全隱患,因而要求企業(yè)決策從“業(yè)務驅(qū)動”轉(zhuǎn)變?yōu)?ldquo;數(shù)據(jù)驅(qū)動”。在整個數(shù)據(jù)生命周期里,企業(yè)需要遵守更嚴格的安全標準和保密規(guī)定,對數(shù)據(jù)存儲與使用的安全性和隱私性要求越來越高。
先嘮嘮索尼被黑出翔的破事兒
據(jù)美聯(lián)社的消息,索尼被黑可以稱之為企業(yè)安全史上損失最慘重的黑客攻擊事件,這次事件對索尼造成了嚴重的創(chuàng)傷,黑客獲取了索尼內(nèi)部大量內(nèi)部資料,包括員工及明星信息、合約和其他敏感文件。有關事件的幕后黑手以及攻擊方法仍眾說紛紜,360網(wǎng)絡攻防實驗室負責人林偉認為,從索尼被黑等一系列近期的安全事件看,現(xiàn)在真正的安全威脅已經(jīng)發(fā)生了“質(zhì)”的變化:攻擊者不再是一個個個體,而是有組織的團隊;攻擊目的也不再漫無目的,而是瞄準特定目標;攻擊表現(xiàn)也不再是炫技,而是潛伏竊取;攻擊工具也很少利用已知工具和漏洞,而是利用未知工具、零日漏洞甚至社會工程學。
但真正可怕的是,“攻”進步了,“防”卻沒有跟上。不可否認,無論是防病毒還是防攻擊,無論是已知威脅檢測還是未知威脅檢測,安全似乎一直處于后知后覺的狀態(tài)——發(fā)現(xiàn)威脅、分析威脅、形成具體的或通用的特征規(guī)則,然后才能對這個威脅進行防御。所以,在面對復雜、未知、定向攻擊等高等級安全威脅時,傳統(tǒng)安全產(chǎn)品頻頻失手,緩不救急。
在此種背景下,傳統(tǒng)的端級防護、單點布防安全解決方案能起到的作用甚微,任何一家企業(yè)都無法單獨對抗大數(shù)據(jù)安全的全面挑戰(zhàn),安全產(chǎn)業(yè)鏈協(xié)同成為必然趨勢。由于安全產(chǎn)業(yè)鏈過于復雜冗長,任何一個環(huán)節(jié)受到網(wǎng)絡攻擊都將給整個產(chǎn)業(yè)鏈帶來不可估量的損失。利用大數(shù)據(jù)等現(xiàn)代技術提升企業(yè)安全實力,“開放是前提、法律是保障、技術是支撐”,信息安全需要在政府主管部門的統(tǒng)一協(xié)調(diào)管控之下,由產(chǎn)業(yè)鏈各個環(huán)節(jié)的企業(yè)開放安全數(shù)據(jù)和技術能力,而要想實現(xiàn)最終的產(chǎn)業(yè)協(xié)同,互聯(lián)網(wǎng)巨頭的示范責任將頗為重要。
360:利用全球最大的云安全體系,建立“感知云”安防
360副總裁譚曉生前不久在一次論壇上曾經(jīng)提到建立企業(yè)安全體系的四個“假設”:第一個假設,系統(tǒng)一定有未發(fā)現(xiàn)的漏洞,所以要考慮如何發(fā)現(xiàn)漏洞利用行為,如何檢測攻擊行為;第二個假設,系統(tǒng)一定有已發(fā)現(xiàn)但仍未修補的漏洞,需要及時發(fā)現(xiàn)漏洞,強制修補漏洞,但漏洞本身也不能盲目修補,以免影響到關鍵業(yè)務系統(tǒng);第三個假設,系統(tǒng)已經(jīng)被滲透,因此要考慮的是如何發(fā)現(xiàn)系統(tǒng)已經(jīng)被滲透、如何處理已經(jīng)被滲透的漏洞、如果重現(xiàn)攻擊過程、如何溯源;第四個假設,員工并不可靠,因此關鍵在于如何發(fā)現(xiàn)員工的異常行為、如何檢測并阻斷來自內(nèi)部的攻擊。
基于這四個假設,要想全面解決安全問題,企業(yè)需要的絕對不是一個個單一的安全產(chǎn)品。為此,360企業(yè)安全提供了“云+端+邊界聯(lián)動”的綜合立體防御體系。只有“云+端+邊界聯(lián)動”的綜合立體防御體系,才能幫助企業(yè)靈活、快速、最大限度地減少來自安全威脅的影響和損失。
360利用全球最大的云安全體系,建立了威脅感知云,為所有安全產(chǎn)品提供云端的威脅感知能力。通過對邊界網(wǎng)絡流量的全流量的感知和分析,來發(fā)現(xiàn)邊界威脅。通過對終端的文件與通信進行安全監(jiān)控,利用云端威脅感知數(shù)據(jù)來發(fā)現(xiàn)終端威脅。無論是網(wǎng)絡內(nèi)部產(chǎn)生的威脅,還是由外網(wǎng)帶入的威脅,都可以通過聯(lián)動接口,利用邊界和終端的檢測結(jié)果,利用云端的威脅感知數(shù)據(jù)和大數(shù)據(jù)分析能力,利用邊界和終端的安全控制能力,實現(xiàn)對整個網(wǎng)絡威脅的聯(lián)合感知和聯(lián)合防御。
看看HanSight怎樣做這個時代的安防體系的
HanSight 是想在金融之外做更泛化更具備普適性的企業(yè)內(nèi)外整合安全方案。
目前 HanSight 的團隊過去三年里都在做數(shù)據(jù)安防相關業(yè)務。據(jù) HanSight 聯(lián)合創(chuàng)始人 Eric 描述,他們開發(fā)并運維的 Hadoop系統(tǒng),可以在在海量數(shù)據(jù)監(jiān)測、分析時實現(xiàn)“秒級響應”。與此同時,HanSight 也是 Hortonworks 在中國的官方合作伙伴。“實現(xiàn)對海量數(shù)據(jù)秒級響應對現(xiàn)有的一線大數(shù)據(jù)團隊來說并不是很困難的事,困難的是針對這些數(shù)據(jù)做出有效分析和應用”。
不同于傳統(tǒng)企業(yè)服務商的物理整機安全方案,HanSight 僅提供純軟件解決方案。在 Eric 看來,傳統(tǒng)機器彈性有限,無法應對業(yè)務或攻擊規(guī)模的突發(fā)變化,且僅能分析過去十小時安全日志。而 HanSight 的企業(yè)日志分析方案能對企業(yè)現(xiàn)存的所有數(shù)據(jù)進行分析,同時對實時生成的數(shù)據(jù)進行存儲和實時分析。
由于是純軟件解決方案,HanSight 的實際性能在一定程度上受限于客戶實際使用的計算集群規(guī)模。但 HanSight 的架構能適應標準 x86 處理器,且對企業(yè)原有系統(tǒng)幾乎不存在性能影響。于此同時,運行 HanSight 的服務器處于企業(yè)安放對象服務群的后方,可以對保護對象的異常做實時預警,從而規(guī)避因為服務器被 DDoS 等服務攻陷而無法正常保護的風險。
HanSight 的 DataViewer 日志抓取、存儲、可視化呈現(xiàn)和自定義分析工具現(xiàn)在免費提供,明年會對外開源。這個工具可以實現(xiàn)上述的海量數(shù)據(jù)秒級讀取和分析,企業(yè) IT 人員可以自定義規(guī)則以利用被抓取和存儲的工具。明年,DataViewer 會開始以 SaaS 的形式為企業(yè)提供標準化服務。之所以日志抓取和自定義分析工具免費,在 Eric 看來是因為“所涉及的技術大多通用、開源,優(yōu)秀的團隊實現(xiàn)起來并不難,真正的門檻在于算法和基于數(shù)據(jù)的安全智能分析服務”。
目前 HanSight 的安全分析服務主要針對企業(yè)內(nèi)網(wǎng)進行,“外網(wǎng)攻擊可以通過防火墻等成熟安全體系防御,但內(nèi)網(wǎng)情況更加嚴峻而且復雜”,Eric 說。根據(jù)他的描述,當下流行的 APT (高級持續(xù)性攻擊)會利用企業(yè)內(nèi)部員工的設備漏洞通過內(nèi)網(wǎng)緩慢找到管理層人員并利用相關信息進行內(nèi)網(wǎng)提權、資料盜取,同時還可能發(fā)生監(jiān)守自盜的案件。HanSight 會對企業(yè)內(nèi)的每一個員工進行行為模式建模,當員工和員工使用的機器在內(nèi)網(wǎng)內(nèi)做出異常行為時就會對企業(yè) IT 和相關負責人進行報警。由于 HanSight 在現(xiàn)階段只負責 Alert 而不會對異常行為或受控機做出 Action,所以能夠方便和企業(yè)內(nèi)部 ERP 等管理系統(tǒng)對接。在客戶允許或有需求的情況下,HanSight 會在之后提供安裝于受控機的 Agent 端以實現(xiàn)更全面的數(shù)據(jù)抓取和行為分析。
雖然 HanSight 基于現(xiàn)有日志數(shù)據(jù)的分析和傳統(tǒng)企業(yè)安全方案一樣屬于攻后防御,但部署 HanSight 之后加以 HanSight 的分析增值服務就會形成一套主動的“攻時防護”體系。HanSight 會根據(jù)異常行為做出實時報警,并且根據(jù)現(xiàn)有數(shù)據(jù)預測企業(yè)現(xiàn)存的漏洞和可能存在的安全薄弱環(huán)節(jié)。
京公網(wǎng)安備 11010502049343號