現在,很多行業都已經開始利用大數據來提高銷售,降低成本,精準營銷等等。然而,其實大數據在網絡安全與信息安全方面也有很長足的應用。特別是利用大數據來甄別和發現風險和漏洞。
通過大數據,人們可以分析大量的潛在安全事件,找出它們之間的聯系從而勾勒出一個完整的安全威脅。通過大數據,分散的數據可以被整合起來,使得安全人員能夠采用更加主動的安全防御手段。
今天,網絡環境極為復雜,APT攻擊以及其他一些網絡攻擊可以通過對從不同數據源的數據的搜索和分析來對安全威脅加以甄別,要做到這一點,就需要對一系列數據源的進行監控,包括DNS數據,命令與控制(C2),黑白名單等。從而能夠把這些數據進行關聯來進行發囧。
企業針對安全的大數據分析下面是一些要點:
DNS數據
DNS數據能夠提供一系列新注冊域名,經常用來進行垃圾信息發送的域名,以及新創建的域名等等,所有這些信息都可以和黑白名單結合起來,所有這些數據都應該收集起來做進一步分析。
如果自有DNS服務器,就能過檢查那些對外的域名查詢,這樣可能發現一些無法解析的域名。這種情況就可能意味著你檢測到了一個“域名生成算法”.這樣的信息就能夠讓安全團隊對公司網絡進行保護。而且如果對局域網流量數據日志進行分析的話,就有可能找到對應的受到攻擊的機器。
命令與控制(C2)系統
把命令與控制數據結合進來可以得到一個IP地址和域名的黑名單。對于公司網絡來說,網絡流量絕對不應該流向那些已知的命令與控制系統。如果網絡安全人員要仔細調查網絡攻擊的話,可以把來自C2系統的流量引導到公司設好的“蜜罐”機器上去。
安全威脅情報
有一些類似與網絡信譽的數據源可以用來判定一個地址是否是安全的。有些數據源提供“是”與“否”的判定,有的還提供一些關于威脅等級的信息。網絡安全人員能夠根據他們能夠接受的風險大小來決定某個地址是否應該訪問。
網絡流量日志
有很多廠商都提供記錄網絡流量日志的工具。在利用流量日志來分析安全威脅的時候,人們很容易被淹沒在大量的“噪音”數據中。不過流量日志依然是安全分析的基本要求。有一些好的算法和軟件能夠幫助人們提供分析質量。
“蜜罐”數據
“蜜罐”可以有效地檢測針對特定網絡的惡意軟件。此外,通過“蜜罐”獲得的惡意軟件可以通過分析獲得其特征碼,從而進一步監控網絡中其他設備的感染情況。這樣的信息是非常有價值的,尤其是很多APT攻擊所采用的定制的惡意代碼往往無法被常規防病毒軟件所發現。參見本站文章企業設置“蜜罐”的五大理由
數據質量很重要
最后,企業要注意數據的質量。市場上有很多數據可用,在安全人員進行大數據安全分析時,這些數據的質量和準確性是一個最重要的考量。因此,企業需要有一個內部的數據評估團隊針對數據來源提出相應的問題,如:最近的數據是什么時候添加的?有沒有樣本數據以供評估?每天能夠添加多少數據?這些數據哪些是免費的?數據總共收集了多久?等等。
安全事件和數據泄露的新聞幾乎每天都能夠出現在報紙上,即使企業已經開始采取手段防御APT,傳統的安全防御手段對于APT之類的攻擊顯得辦法不多。而利用大數據,企業可以采取更為主動的防御措施,使得安全防御的深度和廣度都大為加強。
京公網安備 11010502049343號