網(wǎng)絡(luò)時代的發(fā)展日新月異,技術(shù)與體驗的改變與改進正變得異常迅速。如今,我們的網(wǎng)絡(luò)已經(jīng)從千兆邁向了萬兆時代,這便使得諸多網(wǎng)絡(luò)安全設(shè)備要分析的數(shù)據(jù)包數(shù)據(jù)量急劇上升。而隨著下一代防火墻等安全產(chǎn)品的出現(xiàn),安全網(wǎng)關(guān)所要進行的分析的數(shù)據(jù)量大增、安全監(jiān)測的內(nèi)容不斷細化使得安全產(chǎn)品所要監(jiān)測和分析比以往更多的數(shù)據(jù)。除了數(shù)據(jù)包、日志、資產(chǎn)數(shù)據(jù),更多的諸如漏洞信息、配置信息、身份與訪問信息、用戶行為信息、應(yīng)用信息、業(yè)務(wù)信息、外部情報信息等正在逐漸加入安全要素信息中。
正如上述情況所說的那樣,隨著企業(yè)和組織安全體系架構(gòu)變得越來越復雜,與之俱來的是各類安全數(shù)據(jù)正在變得越來越多。而傳統(tǒng)的分析能力已不足以應(yīng)對當下安全數(shù)據(jù)的分析。在面對新型威脅的興起時,傳統(tǒng)的分析方法無法對更多的安全信息做出準確分析,也就更加無從談起更加快速的做出判定和響應(yīng)。而以上信息安全所面臨的這些問題,正是大數(shù)據(jù)時代帶來的挑戰(zhàn)。
在此背景下,對信息安全業(yè)而言,如何將大數(shù)據(jù)技術(shù)應(yīng)用于安全領(lǐng)域、將大數(shù)據(jù)分析技術(shù)應(yīng)用于信息安全的技術(shù)的大數(shù)據(jù)安全分析的需求正變得愈加急迫。而與此同時,安全數(shù)據(jù)的數(shù)量、速度、種類的迅速膨脹,不僅帶來了海量異構(gòu)數(shù)據(jù)的融合、存儲和管理的問題,更是對傳統(tǒng)的安全分析方法帶來了挑戰(zhàn)。
目前,市場上絕大多數(shù)安全分析工具和方法都是針對小數(shù)據(jù)量設(shè)計的,在面對大數(shù)據(jù)量時難以為繼。新的攻擊手段層出不窮,需要檢測的數(shù)據(jù)越來越多,傳統(tǒng)的分析技術(shù)已是不堪重負。
一方面,高速海量安全數(shù)據(jù)的采集和存儲變得困難,而異構(gòu)數(shù)據(jù)的存儲和管理同樣變得困難;而傳統(tǒng)的安全分析技術(shù)對歷史數(shù)據(jù)的檢測能力很弱,對安全事件的調(diào)查效率十分低;以往,安全系統(tǒng)相互獨立,無法有效地進行協(xié)同工作,對于趨勢性的威脅更是無法預測,在應(yīng)對當今諸如APT等高級威脅的攻擊時防護效果十分薄弱。另一方面,傳統(tǒng)的分析方法大都采用基于規(guī)則和特征的分析引擎,必須要有規(guī)則庫和特征庫才能工作,而規(guī)則和特征只能對已知的攻擊和威脅進行描述,無法識別未知的攻擊,或者是尚未被描述成規(guī)則的攻擊和威脅。
可見,對于大數(shù)據(jù)安全分析而言,如何以安全數(shù)據(jù)自身的特點和安全分析為目標,讓大數(shù)據(jù)安全分析的應(yīng)用更加凸顯其價值是十分必要的。
如今,對于信息與網(wǎng)絡(luò)安全分析出現(xiàn)了兩個基本趨勢:情境感知的安全分析與智能化的安全分析。Gartner曾經(jīng)在2010年的兩份報告中分別指出:“未來的信息安全將是情境感知的和自適應(yīng)的。”以及“要為企業(yè)安全智能的興起做好準備。”
情境感知的安全分析,更多地需要利用相關(guān)性要素信息的綜合研判來提升安全決策的能力,例如:資產(chǎn)感知、位置感知、拓撲感知、應(yīng)用感知、身份感知、內(nèi)容感知,等等。利用情境感知分析技術(shù),安全分析會得以在縱深方面得到極大的擴展;而更多的安全要素信息的納入,也拉升了分析的空間和時間范圍。而安全智能則更加強調(diào)將過去分散的安全信息進行集成與關(guān)聯(lián),獨立的分析方法和工具進行整合形成交互,最終實現(xiàn)智能化的安全分析與決策。
從長遠看,借助大數(shù)據(jù)安全分析技術(shù),能夠更好地解決大量安全要素信息的采集、存儲的問題,借助基于大數(shù)據(jù)分析技術(shù)的機器學習和數(shù)據(jù)挖據(jù)算法,亦能夠更加智能地洞悉信息與網(wǎng)絡(luò)安全的態(tài)勢,從而更加主動、彈性地去應(yīng)對新型復雜的威脅和未知多變的風險。在未來一段時期內(nèi),關(guān)于大數(shù)據(jù)安全分析技術(shù)的探究,必會成為新的市場熱點。
京公網(wǎng)安備 11010502049343號