人們熟知的平安城市項目中涉及大量攝像頭的部署。一個小家庭的安全防護可以靠門、窗、鎖,但是一個空間開放的城市的防護可能就要依靠更多的攝像頭。這一點與網絡安全的演進有些類似。以前,企業主要依靠防火墻、漏洞掃描、殺毒軟件等安全設備,保護的是相對封閉的、有明確界限的企業內部環境。但是隨著云計算、互聯網的興起,企業的邊界、安全的邊界正逐漸變得模糊。保護企業的安全,那些”門、窗、鎖“是必須的,但是如果增添了”攝像頭“,企業的安全是不是更有保障?
企業在已經建立了一個基本的安全防御體系,部署了各類安全的軟硬件之后,還應該進一步建立一個全面、立體、主動的監控體系。大數據安全就像是攝像頭+中控,是這個立體的監控體系的重要組成部分。“大數據安全對于傳統的安全防御市場來說是一種顛覆。不過,大數據安全對于傳統的安全體系來說不是替代,而是必要的補充,是從一個新的角度來審視安全防御。”HanSight瀚思CEO高瀚昭表示。
企業掌握安全的主動權阿里巴巴集團首席風險官劉振飛表示:“在DT(Data Technology)時代,傳統安全機制頹勢盡顯。傳統的企業安全重在建設封閉可控的環境,而互聯網業務最大的特點在于沒有邊界、海量用戶、設備不可控。在古代戰場上,可以用城墻來防御敵人,但是今天,必須建立立體的防控體系才能保障城市的安全。”
在“斯諾登”事件曝光后,人們意識到全面的監控是必須的。但是以前由于技術手段的限制,人們無法對海量的數據進行及時有效的分析?,F在,隨著云計算、大數據、機器學習等技術的興起,對海量數據進行實時分析成為可能。大數據直接帶動了網絡安全的變革。
最堅固的堡壘往往是從內部被攻破的。因此,對所有發生在企業內部的用戶行為進行監控和分析,是主動防御不可缺少的一環。對于用傳統安全手段無法發現和探知的問題,大數據安全可以通過最嚴密的分析定位問題所在。
HanSight瀚思CEO高瀚昭
現在,銀行都在做數據大集中,通常情況下銀行一天的網銀日志數據量就達數TB,而這么龐大的數據以前從來沒有得到過有效分析?,F在有了趁手的大數據分析工具,銀行非常積極地利用這些日志數據進行業務分析、運維分析和安全分析。“像銀行、電力、運營商、公安等行業的客戶,在其業務發展到一定規模后,深知安全性對其業務發展的重要性,所以對大數據安全有強烈的需求。”高瀚昭分析說,“而一些互聯網企業目前將主要精力放在迅速擴展業務上,而且沒有遇到對業務產生嚴重影響的安全威脅和事故,所以對安全系統的建設關注不夠。”
以前,企業處在被動防御階段,安全工作的重點集中在邊界,想盡辦法不讓黑客攻進來。但是現在,由于大數據分析工具的運用,主動防御成為可能,企業可以利用全面、深入且及時的數據分析,發現過去不曾被發現的安全漏洞或威脅,甚至可以找出安全攻擊的路徑,提前做出預警或準備。在大數據時代,企業將掌握安全的主動權。
大數據安全拼的是什么?有了大數據這個重要抓手,網絡安全可以從以前的被動防御轉為現在的主動防御。以銀行為例,在對待安全這個問題上,它們早就拋棄了“頭痛醫頭,腳痛醫腳”的陋習,而是在做好基本安全防御(包括建立健全安全規范和流程)的基礎上,主動采用大數據安全手段,建立主動防御體系??蛻舨辉賳渭円蕾嚢踩珡S商,而是借助大數據安全工具,主動尋找自己的安全短板,將更多精力放在安全預測、主動防御上。“國內的一些大型銀行、運營商都在積極實施主動防御。”高瀚昭介紹說。
在現實世界中,80%-90%的數據都可能與安全相關,所以要盡可能對所有數據源的數據進行收集、分析。以前,人們認為安全威脅都來自外部,所以只要守住企業與外界之間的那道”墻“,就可以保護企業內部的安全。其實,研究發現,企業內部的數據庫也并不安全,可能在用戶不知情的情況下已經被黑客侵入。如果用戶不了解這些新的變化,那么安全防御也就無從談起。
“與其說是大數據促成了安全從被動防御到主動防御的轉變,不如說是機器學習促進了這種轉變的發生。”高瀚昭表示。傳統的安全處理方式是有限的,通常經過告警、匯總、分類、排序等環節,由人工參與安全信息的處理,最后梳理出的有效的信息可能也就幾十條。現在,安全分析要處理的數據是海量的,就像是大海撈針,如果再依靠人工是不可想象的,而必須依靠機器學習,進行深入的行為分析和模式匹配,找到安全漏洞。
賽門鐵克公司也認為,機器學習的能力將是未來安全廠商的核心競爭力。“機器學習的能力將成為衡量一個大數據安全廠商是否優秀的重要標準。”高瀚昭介紹說,這涉及兩方面的內容:一是算法的先進性,看哪個廠商能夠更精準地找到安全漏洞;第二,威脅情報庫是否完備。HanSight瀚思持續不斷地優化其機器學習算法的性能,實現實時的分析,1-2秒鐘即可得到結果,而以前的分析時間是分鐘級甚至小時級別。另外,機器學習還必須在真實的應用環境中,建立符合用戶行為基準的模型,這樣才保證分析結果的正確性。“
機器學習系統的一個難點是,系統不容易調整,通常只有專家才能掌握,實施起來比較困難。機器學習系統是一個參數敏感的系統,參數的微小調整都會讓結果千差萬別,因此以前大多只用于科研,而只有參數不敏感、可以自適應的機器學習系統才是適合商用的。除了不斷提升機器學習系統的性能以外,HanSight瀚思的另一項工作是實現機器學習系統的數據可視化。通常情況下,機器學習系統得出的結果是一串數字,普通用戶很難理解它所代表的意思,因此就需要廠商運用圖計算、圖數據庫,并結合拓撲結構,將數字轉化為直觀的圖形呈現給用戶,比如用一個點的大小來表示安全問題是否嚴重。
大數據安全的門檻高在哪?“數據驅動安全”這一思想已被越來越多的廠商和用戶所接納。大數據與安全碰撞出的火花對安全市場未來的發展將起到非常重要的作用。一些傳統的安全廠商已經在積極轉型。但是船大難掉頭,限于公司原有的架構、機制等方面的原因,傳統安全廠商很難在短時間內在大數據安全方面有巨大的突破。像HanSight瀚思這樣的大數據安全分析領域的創業公司則起到了帶頭和引導的作用。
“在中國,大數據安全領域的創業公司還比較少,其難點在于,企業必須建立安全信息管理中心,接入各種數據源,提供涵蓋前后端的全面支持,工作量非常大。傳統安全廠商只要解決一個點的安全問題,而大數據安全要解決一個面的問題,要對所有相關信息進行收集和分析。”高瀚昭以前曾在一家安全公司負責全球病毒自動分析工作,所以才能攬下大數據安全這一瓷器活兒。
大數據安全的門檻高在哪?全球第一家上市的大數據公司Splunk公司是大數據安全領域的佼佼者。不過,它也是經過了六七年的研發、醞釀之后,才將其大數據安全產品市場化。成立只有兩年的HanSight瀚思已經可以交付成熟的企業級大數據安全平臺。
Splunk銷售的是大數據安全工具,需要客戶在此基礎上做大量的二次開發,因此對客戶的專業技能有一定要求,實施起來相對復雜。另外,作為一個國外廠商,Splunk的本地化支持力度也有待加強。“中國客戶傾向于采購‘交鑰匙’的解決方案,希望廠商不僅能夠幫助它們發現安全問題,最好還能一并解決問題。HanSight瀚思能夠滿足中國用戶的特殊需求。”高瀚昭表示,“在大數據安全領域,中外廠商基本處于同一起跑線。我們的產品在分析、展現和模型的建立上并不遜于國外的產品。在國內,我們已經有了許多大中型的企業客戶。”
在中國,HanSight瀚思有三個業務基地:成都主要負責SOC(安全運營中心)的建立,以及算法的研究;北京負責企業版大數據安全產品的交付;南京的重點放在SaaS服務的交付。高瀚昭介紹說:“我們的SaaS安全產品正在研發中,計劃于3月發布。實施SaaS的前提是要將用戶場景最小化,支持標準化的硬件,包括常用的交換機、防火墻等。SaaS安全服務的興起可以讓大量互聯網企業受益。在互聯網平臺上,數據可以充分共享,在此基礎上,通過建立一個虛擬化SOC,可以提供安全評估服務、安全監控服務、安全運維服務等,還可以建立一個全面的安全威脅情報庫。將互聯網上的海量信息匯總、分析后,可以為互聯網用戶提供安全預警。”