網絡安全大數據話題在安全圈子中的討論是這樣的:如果企業把自己的與安全有關的事件數據與商務信息庫結合起來,企業就能夠分析這個大數據以便抓住設法竊取敏感信息的入侵者。
這個從安全角度對大數據的觀察希望企業應用基于開源軟件Hadoop的龐大的數據庫。這將導致在IT部門出現一個圍繞Hadoop的新型的“數據科學家”的職位。安全專業人員和分析師現在也在討論大數據還將產生以安全為重點數據科學家。這些數據科學家將利用工具和知識準確地找到設法竊取敏感數據的隱蔽的入侵者的攻擊。
在復雜的網絡中抓住網絡竊賊已經證明是很困難的。“大數據”將提供新的希望。但是,“大數據”能保證做到嗎?
咨詢機構企業管理協會的分析師斯科特·克勞福德(Scott Crawford)也這樣認為。他在舊金山舉行的RSA會議關于大數據和大數據如何幫助增強安全的分析師小組討論會上說:“統計分析將識別出異常情況,但是,統計分析不理解安全。”
克勞福德預計最終將出現一個大數據的“安全算法市場”。他指出,Red Lambda和Palantir等公司目前正在解決這個問題。它們利用大量的算術分析以發現異常情況。
對于網絡內部行為正常網絡用戶來說,企圖隱藏起來的惡毒的攻擊者一種異常行為。攻擊者通常隱藏在正常用戶的后面。Gartner分析師尼爾·麥克唐納德(Neil MacDonald)在RSA小組會上發言稱,目前,隱蔽的攻擊者正在通過傳統的防御措施,如入侵防御系統、防火墻和殺毒軟件。
麥克唐納德稱,這些滲透和竊取高度敏感數據的災難性的攻擊有時候稱作“高級的持續威脅”(APT)。這種攻擊是能夠把自己的惡意行為有效地隱藏在網絡中的人類演員實施的。我們還不知道在網絡中“好的”和“壞的”行為是什么樣子。他指出,你必須了解“好的”行為是什么樣子以便理解“偏離好的行為”。
分析師認為,大數據正在為安全分析提供新的可能性。這意味著目前使用的安全工具、安全信息與事件管理以及類似的不能解決這個問題的工具必須要發展。
麥克唐納德稱,在某種程度上,這種發展現在已經開始了。他是指RSA的威脅檢測產品NetWitness和惠普的ArcSightSIM。CrowdStrike等一些創業企業稱,他們將用新的方式解決APT問題。
但是,SIEM(安全信息和事件管理)的發展能夠處理與商務有關的大數據嗎?這個整個想法是不是一個愉快的假象?這個整個想法就是把更多的商務數據添加到來自各種防火墻、服務器、入侵防御系統和類似產品的更傳統的SIEM數據中以便提高更有意義的關于入侵者的情報。
市場研究公司Forrester的分析師約翰·金德瓦格(John Kindervag)稱,人們不能從SIEM工具中得到自己需要的答案。他表示將會出現一些新的東西。SIEM工具將是這些新東西的一部分。
在參加RSA小組討論會的分析師中,企業戰略集團(Enterprise Strategy Group)分析師喬恩·奧爾特辛克(Jon Oltsik)是最樂觀的。他認為大數據是解決APT問題的答案。
奧爾特辛克發表評論稱,我擔心的問題是我們將獲取更多的數據,但是不知道用這些數據做什么。企業中的首席信息安全官目前還沒有宣傳大數據將促進安全的想法。他說:“當我與首席信息安全官談話并且問到有關大數據的問題時,他們只是笑一笑。”
不過,一些大數據安全方法的早期應用者也表示有希望。
Zions Bancorporation公司已經建立了一個大型數據庫,對實時安全和商務數據結合在一起的數據進行預防性的分析,以便識別釣魚攻擊,防止詐騙和阻止黑客入侵。這個數據庫是在去年10月發布的,是以Zettaset數據庫為基礎的。這個數據庫利用Hadoop工具數據密集型的分布式應用的分析。該公司首席安全官普雷斯頓·伍德(Preston Wood)把這種做法解釋為增強SIM工具的一種方法并且為了安全目的分析大量的歷史的商務數據。
包括NetIQ在內的SIEM廠商表示,他們知道,有關大數據和安全的議論才剛剛開始。
NetIQ產品管理主管馬特·尤萊里(Matt Ulery)稱,這是SIEM的發展方向。他說,這個行業正在通過集成商務智能開始重新發明SIEM技術。大數據能夠檢測到異常情況。尤萊里指出,該公司的Sentinel 7.0集成了更多的數據環境。
尤萊里針對攻擊者將接管一個賬戶的事情問到:“你如何定義好的行為?因此,這個問題就是那是一位員工,還是一個攻擊者?”隱蔽的攻擊行動最多每天會出現幾秒鐘。因此,這個目標就是區分可信賴的內部人員和攻擊者。大數據在這方面會提供許多幫助。
但是,尤萊里補充說,有許多現實的理由說明為什么用于安全的大數據概念將遇到許多障礙。
一個現實的障礙是目前把企業數據放在云計算中的努力。這將使傳統的SIEM方法更加困難。SIEM方法一直在企業內部網絡中應用。另一個障礙是對大數據抱希望的安全經理們要制定數據管理戰略并且推薦非常高級的技術。在還有許其它的多企業問題需要解決的時代,增加大數據問題可能是一個很難說服人的問題。目前,在工作場所使用自己的移動設備已經是企業的一個重大的管理問題。
京公網安備 11010502049343號