當今的安全局勢不容采取臨時安全措施。處理“大數據”時,關于 IT 和業務的數據的數量和類型極多,難以用臨時方式來處理。此外,保護收集到的數據中有意義的信息,變得越來越困難。
盡管大多數組織對信息安全進行了大量投資,攻擊者看起來仍略勝一籌。根據 Verizon 數據違規調查報告 (2012) 指出,91% 的違規都會導致數據在幾天甚至更短的時間內受損,而 79% 的違規需要幾個星期甚至更長時間才會被發現。有多個因素可以說明此問題:
攻擊者變得更加有組織,并且資金更雄厚。在攻擊變得更加動態的同時,防御卻保持靜態。當今的攻擊旨在利用我們以用戶為中心、高度互聯的基礎架構的弱點。支持 IT 的組織繼續成長,變得更加復雜。組織現在需要更加開放且敏捷的系統,從而為協作、通信和創新創造更多的新機會。而這也造成了一些新的漏洞,計算機罪犯、黑客行動主義者團體和民族主義者早已學會了如何利用這些漏洞。法規遵從性變得更加影響深遠。監管機構和立法機構的規定越來越多。各大公司(尤其是擁有多條業務線或國際運營的公司)越來越難以跟蹤當前已有的控制、需要的控制以及如何確保控制措施受到適當地管理。這些因素在 IT 環 境中共同作用,使得安全管理變得更加復雜,并且各方面互相依賴關系更高,責任范圍更大。隨著更多業務流程變為數字化,在收集和管理更多數據方面,安全團隊 所面臨的既有機會也有挑戰。組織對日志管理、漏洞管理、身份管理和配置管理工具投入越來越多的資金,但是,違規事故依然繼續發生,并導致比以往更多的損失 和費用。
用于安全管理的真正的“大數據”策略必須涵蓋所有三個方面(即基礎架構、分析工具和智能),才能適當地解決當前面臨的問題。
要從收集的數據中提取價值、提高威脅管理活動的效率以及使用法規遵從性活動來推動決策 制定,安全團隊需要使用“大數據”方法來進行安全管理。這意味著:
采用敏捷的“橫向擴展”基礎架構來響應不斷變化的 IT 環境和不斷發展的威脅。安全管理需要支持影響 IT 的 新業務計劃,從新的應用程序到新的交付模式,例如移動性、虛擬化、云計算和外包。安全管理基礎架構必須能夠在企業層面上收集和管理安全數據,并進行擴展以 滿足當今的企業級需求(包括物理要求和經濟要求)。這意味著進行“橫向擴展”而非“縱向擴展”,因為將所有這些數據集中化在實際情況中是不可能的。此外, 該基礎架構還需要能夠輕松擴展以適應新的環境,并時刻準備好發展和完善以支持對不斷演變的威脅進行分析。擁 有支持安全分析特性的分析和可視化工具。安全專家需要專業的分析工具來支持其工作。有的分析師需要工具來協助自己找出具備某些支持詳細信息的基本事件。經 理們可能只需要關鍵指標的高級可視化圖形和趨勢圖。惡意內容分析師需要重建可疑的文件和工具,以便自動執行這些文件的測試。網絡取證分析師需要全面重建關 于某個會話的所有日志和網絡信息,以便精確地確定發生的情況。擁有威脅智能以便對收集的信息應用數據分析技術。組織需要了解當前的外部威脅環境,以便將這些威脅與從組織內部收集到的信息進行關聯。這種關聯工作對于分析師至關重要,可幫助他們清楚地理解當前的威脅指示因素和他們需要尋找的信息。“大數據”并不簡單地等同于“大量數據”。它需要大量更加智能的分析,以便盡早發現安全威脅,并使用基礎架構來大規模收集和處理數據。后文中,我們會描述如何用“大數據”推動高效的數據安全。
京公網安備 11010502049343號